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随 着 有 线 和 无 线 信息 系统 的 快速 发 展 ， 网 络 安全 问题 成 为 21 世纪 最 重要 的 研究 课题 之 
一 。 计 算 机 网 络 的 最 初 形成 和 发 展 来 自 于 海外 国家 ， 我 国 在 紧 跟 国际 发 展 的 基础 上 ， 又 开 
拓 了 很 多 新 的 领域 和 新 的 应 用 。 对 于 网 络 安全 的 研究 , 既 要 吸收 采纳 国外 的 相关 先进 理论 、 
技术 和 产品 ， 也 要 迅速 发 展 国 内 的 研究 能 力 。 近 十 几 年 出 现 了 一 大 批 计算 机 网 络 安全 方面 
的 优秀 教材 ， 而 对 于 教材 中 对 学 子 们 提出 的 问题 ， 也 需要 精确 全 面 的 解答 ， 以 引导 整个 领 
域 更 加 莲 孝 健 康 地 发 展 。 本 书 正 是 在 此 大 背景 下 应 运 而 生 。 

网 络 安全 涉及 的 领域 很 广 ， 包 括 设 备 供应 商 、 网 络 服务 商 、 网 络 管理 层 、 计 算 机 用 户 
等 多 方面 的 需求 ， 黑 客 的 恶意 攻击 和 用 户 的 懈 于 防护 使 得 网 络 诈骗 、 网 络 病 毒 、 网 络 瘫痪 
出 现 的 概率 越 来 越 大 ， 对 于 网 络 信息 安全 需要 各 个 层面 的 重视 。 

习近平 总 书记 在 2018 年 中 国 国际 大 数据 产业 博览 会 5 月 26 日 的 开幕 式 贺信 中 提 到 ， 
要 建设 网 络 强国 、 数 字 中 国 、 智 慧 社 会 ， 并 在 多 次 讲话 中 提 到 要 形成 党 委 领 导 、 政 府 管理 、 
企业 履 责 、 社 会 监督 、 网 民 自律 等 多 主体 参与 ， 经 济 、 法 律 、 技 术 等 多 种 手段 相 结合 的 综 
合 治 网 格局 。 要 加 强 网 上 正面 宣传 ， 积 极 培育 和 践 行 社会 主义 核心 价值 观 。 

《孙子 兵法 》 中 说 : 知己 知 彼 ， 百 战 不 殉 ; 不 知 彼 而 知己 ， 一 胜 一 负 ; 不 知 彼 不 知己 ， 
每 战 必 殖 。 因 此 , 要 成 为 信息 安全 防御 方面 的 能 手 , 必须 深入 了 解 攻击 者 惯 于 使 用 的 伎俩 ， 
并 且 建 立 长 期 有 效 的 防御 体制 ， 才 能 确保 整个 通信 系统 的 安全 。 

本 习题 详解 基本 概括 了 当前 网 络 中 存在 的 各 种 干扰 不 安全 因素 ， 并 阐明 了 防御 方案 。 
第 1 章 习 题 识 括 了 病毒 、 木 马 、 蠕 虫 、 答 听 、 扫 描 攻击 、IP 欺骗 、 路 由 欺骗 、TCP 会 话 动 
持 、DNS 欺骗 、Web 欺骗 、 邮 件 欺 骗 、 伪 基站 攻击 、 缓 冲 区 溢出 、 拒 绝 服 务 攻击 等 计算 机 
信息 系统 中 过 去 几 十 年 危害 网 络 的 常用 攻击 手法 以 及 防御 措施 ; 第 2 章 习题 主要 涉及 加 密 
算法 、 数 据 完整 性 和 真实 性 保护 ; 第 3 章 习题 包括 数字 签名 、 身 份 认 证 、 访 问 控制 等 国际 
标准 的 相关 知识 和 内 容 ; 第 4 章 习 题 涉及 防火 墙 、 网络 隔离 Intemet 安全 协议 , 包括 IPSec、 
SSL、VPN 等 ， 以 及 对 于 入 侵 检测 技术 和 蜜 镀 技 术 的 阐述 和 人 解答， 第 5 章 习 题 涉 及 信息 系 
统 安 全 管理 层面 ， 包 括 应 急 响应 、 风 险 评 估 方 面 比较 成 熟 的 方案 介绍 。 附 录 中 给 出 了 两 套 
综合 试题 及 其 解答 ， 以 便于 阅读 者 自学 。 

本 书 第 1 一 4 章 习 题解 答 由 栾 英姿 编写 ， 第 5 章 习 题解 答 由 王 玉 斐 编写 。 在 整个 编写 过 
程 中 ， 得 到 清华 大 学 出 版 社 各 位 领导 、 同 事 的 支持 和 认可 ， 原 教材 作者 张 基 温 教授 也 一 直 
密切 关注 和 指导 本 书 的 写作 ， 在 此 一 并 致谢 ,感恩 ! 


栾 英姿 


2019 年 2 月 
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.II 。 


第 1 章 ”信息 系统 安全 威胁 


1.1 


本 章 详细 讲解 了 蠕虫 、 病 毒 、 特 


第 1 章 知 识 提要 


洛 伊 木马 等 恶意 代码 的 各 自 特 点 ， 以 及 后 门 、 扫 描 、 


监听 等 技术 ， 对 传统 窃听 技术 ， 包 括 声波 、 电 磁 波 、 光 缆 窃 听 以 及 手机 监听 的 要 点 ， 进 行 
了 解答 和 分 析 ; 对 网 络 欺 骗 的 分 类 ， 包 括 ARP 欺骗 、IP 欺骗 、 路 由 欺骗 、 会 话 支持 、 重 放 
攻击 、DNS 欺骗 、Web 欺骗 和 伪 基 站 攻击 等 关键 问题 进行 了 解答 ; 对 黑客 常用 的 攻击 方法 、 
区 溢出 、 拒 绝 服 务 攻击 等 进行 了 原理 阐述 。 


缓冲 


1.2 第 


1 章 习 题 和 答案 详解 


一 、 选 择 题 (答案: BBCBD BBCAC AABAA EABBD) 
1. 下 列 关于 计算 机 病毒 的 叙述 中 ， 


A. 


是 错误 的 。 


计算 机 病毒 会 对 计算 机 文件 和 数据 造成 破坏 
. 只 要 删除 感染 了 病毒 的 文件 ， 就 可 以 彻底 清除 病毒 


答案 : B 
传染 性 、 繁 殖 性 ， 仅 通过 清除 一 个 文件 是 很 难 彻底 清 


. 计算 机 病毒 是 指 “能 够 侵入 计算 机 系统 并 在 计算 机 系统 中 破坏 系统 正常 工作 的 一 种 具有 


潜伏 、 传 播 的 特殊 小 程序 


答案 : B 


B 
C. 计算 机 病毒 是 一 段 人 为 制造 的 小 程序 
D. 计算 机 病毒 是 可 以 预防 和 清除 的 
解答 : 计算 机 病毒 的 特点 是 隐藏 性 、 
除 影 响 的 。 
2 
繁殖 能 力 的 
A. 一 种 被 破坏 了 的 程序 
B. 共有 破坏 性 ， 并 可 以 在 计算 机 
C. 特殊 微生物 
D. 源 程序 
解答 : 


程序 中 插入 的 破坏 计算 机 功能 
组 计算 机 指令 或 者 程序 代码 。 
发 性 、 表 现 性 和 破坏 性 。 


根据 计算 及 病毒 的 定义 可 以 知道 : 计算 机 病毒 (computer virus) 是 编制 者 在 计算 机 


或 者 数据 代码 ， 能 影响 计算 机 使 用 ， 能 自我 复制 的 一 
它 的 特点 是 传播 性 、 隐 项 性 、 感 染 性 、 潜 伏 性 、 可 激 


LU 


. 下 列 关 于 计算 机 病毒 的 说 法 中 ， 正 确 的 是 
A. 


计算 机 病毒 是 一 种 有 损 计算 机 操作 人 员 身 体 健康 的 生物 病毒 


B. 当 U 盘 或 光盘 不 清洁 时 ， 将 会 传播 计算 机 病毒 
C. 计算 机 病毒 是 一 种 通过 自我 复制 进行 传染 的 ， 破 坏 计 算 机 程序 和 数据 的 小 程序 
D. 计算 机 病毒 是 一 种 有 逻辑 错误 的 程序 
答案 : C 
解答 计算 机 病毒 不 是 生物 病毒 ， 不 是 物理 病毒 ， 也 没有 逻辑 错误 。 
4. 防止 U 盘 感染 病毒 的 有 效 方法 是 和 
A. 不 要 把 无 毒 U 盘 与 有 毒 U 盘 放 在 一 起 
B. 使 U 盘 写 保护 
C. 保持 机 房 清洁 
D. 定期 用 酒精 对 U 盘 进行 消毒 
答案 : B 
解答 : 由 于 计算 机 病毒 的 非 物 理性 ， 因 此 其 他 选项 都 不 对 ， 只 有 B 正 确 。 
5. 计算 机 宏 病毒 主要 感染 文件 。 
A. .exe 
B. .com 
Ct 
D. .doc 
答案 : DD 


解答 ， 宏 病毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 


的 宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模 板 
上 。 至 此 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病毒 ， 而 且 如 果 其 他 用 户 打 
开 了 感染 病毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 ， 因 此 它 只 感染 .doc 文 档 。 


6. 计算 机 病毒 最 重要 的 特点 是 


A. 


解答 : 


B: 
C 可 
D: 


可 执行 


可 打印 


计算 机 病毒 最 重要 的 特性 是 传染 性 。 


7. 为 了 预防 计算 机 病毒 ， 应 采取 的 正确 措施 是 
A. 每 天 都 对 计算 机 硬盘 和 软件 进行 格式 化 
B. 不 用 盗版 软件 和 来 历 不 明 的 软盘 


2. 


C. 不 与 任何 人 交流 
D. 不 玩 任何 计算 机 游戏 


解答 : 因为 计算 机 病毒 容易 隐藏 在 盗版 软件 或 来 历 不 明 的 软盘 中 。 所 以 选 B。 


oo 


- 下 列 描 述 中， 不 属于 引导 扇 区 病毒 的 是 一 
用 自己 的 代码 代替 MBR 中 的 代码 

- 会 在 操作 系统 之 前 加 载 到 内 存 中 

- 将 自己 复制 到 计算 机 的 每 个 磁盘 

. 格式 化 硬盘 


口中 > 


解答 : 引导 区 病毒 是 指 病毒 寄存 在 硬盘 主 引导 区 所 占据 的 0 面 第 一 扇 区 中 ， 因 此 选 C。 


9. 特洛伊 木马 
A. 表面 上 看 起 来 无 害 ， 但 隐藏 着 罪恶 
B. 不 是 有 意 破 坏 ， 仅 制造 恶作剧 
C. 经 常 将 自己 复制 ， 附 着 在 宿主 文件 中 
D. 传播 和 运行 都 不 需要 客户 参与 


答案 : A 
解答 :特洛伊 木马 的 特点 是 伪装 成 一 个 实用 工具 、 一 个 可 爱 的 游戏 、 图 片 、 软 件 ， 诱 使 用 
户 将 其 安装 在 PC 端 或 者 服务 器 上 ， 从 而 秘密 获取 信息 。 


10. 蠕虫 o 
A. 不 进行 自我 复制 
B. 不 向 其 他 计算 机 传播 
C. 不 需要 宿主 文件 
D. 不 携带 有 效 负载 


解答 : 蠕虫 的 特点 是 独立 、 自 主 、 传 播 、 有 害 ， 所 以 选 C。 


11. 后 门 
A. 是 为 计算 机 系统 开启 秘密 访问 入 口 的 程序 
B. 会 大 量 占用 计算 机 资源 ， 造 成 计算 机 瘫痪 
C. 用 于 对 互联 网 中 的 目标 主机 发 起 攻击 
D. 用 于 寻找 电子 邮件 地 址 ， 发 送 垃圾 邮件 


答案 : A 
解答 : 后门 程序 一 般 是 指 那 些 绕 过 安全 性 控制 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 软 
件 开发 阶段 ， 程 序 员 常 会 在 软件 内 创建 后 门 程序 ， 以 方便 修改 程序 设计 中 的 缺陷 。 


3. 


但 是 ， 如 果 这 些 后 门 被 其 他 人 知道 ， 或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 那 么 
它 就 成 了 安全 风险 ， 容 易 被 黑客 当成 漏洞 进行 攻击 ， 所 以 选 A。 


12. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 ， 截 获 攻击 是 针对 的 攻击 。 
A. 机 密 性 

可 用 性 

完整 性 

真实 性 


DN 


答案 : A 
解答 : 截获 攻击 与 保密 性 相关 ， 伪 造 攻击 与 认证 相关 ， 算 改 攻击 与 完整 性 相关 ， 中 断 攻击 
与 可 用 性 相关 ， 所 以 选 A。 


13. “会 话 侦 听 和 支持 技术 ”是 属于 技术 。 

A. 密码 分 析 还 原 

B. 协议 漏洞 渗透 

C. 应 用 漏洞 分 析 与 渗透 

D. DOS 攻 击 

答案 : B 
解答 : 会 话 动 持 (session hijack) 是 一 种 结合 了 嗅 探 及 欺骗 技术 在 内 的 攻击 手段 ， 它 利用 
TCP/ 了 的 漏洞 得 以 实现 ， 因 此 选 B。 


14. 攻击 者 用 传输 数据 冲击 网 络 接口 ， 使 服务 器 过 于 繁忙 ， 以 至 于 不 能 应 答 请 求 的 攻击 方式 
是 
A. 拒绝 服务 攻击 
B. 地 址 欺骗 攻击 
C. 会 话 支持 
D. 信号 包 探 测 程序 攻击 


解答 : 只 有 拒绝 服务 攻击 最 符合 题 中 的 描述 ， 因 此 选 A。 


15. 攻击 者 截获 并 记录 了 从 A 到 B 的 数据 , 然后 从 所 截获 的 数据 中 提取 出 信息 重新 发 往 B, 这 
种 攻击 称 为 
A. 中 间 人 攻击 
B. 口令 猜测 器 和 字典 攻击 
C. 强力 攻击 
D. 回放 攻击 


答案 : A 
解答 : 一 般 回 放 攻 击 指 的 是 经 过 加 密 的 口令 被 截获 后 无 法 解密 只 能 以 密 文 形 式 再 次 回放 以 
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达到 欺骗 身份 认证 的 目的 ， 而 中 间 人 攻击 是 指 中 间 人 监听 到 A、B 之 间 的 通信 ， 通 过 
ARP 欺 骗 冒 充 某 一 方 和 另 一 方 进行 通信 ， 因 此 A 更 符合 题 中 的 描述 。 


16. 拒绝 服务 攻击 的 后 果 是 。 
A. 系统 不 可 用 

. 应 用 程序 不 可 用 

. 系统 死机 

. 阻止 通信 

. 上 面 几 项 都 是 


昌 总 路 另 


答案 : E 
解答 : 拒绝 服务 攻击 造成 的 后 果 有 系统 不 可 用 、 应 用 程序 不 可 用 、 系 统 死机 、 阻 止 通信 ， 
因此 选 E。 


17. DDoS 攻击 破坏 了 信息 的 。 
A. 可 用 性 
B. 保密 性 
C. 完整 性 
D. 真实 性 
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解答 : 分 布 式 拒绝 服务 (DDoS ) 攻击 造成 系统 不 可 用 ， 因 此 选 A。 
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18. 某 用 户 收 到 一 封 可 疑 的 电子 邮件 ,要 求 他 提供 银行 账户 及 密码 。 这 是 一 种 攻 
手段 。 


答案 : B 
解答 : 钓鱼 攻击 手段 就 是 使 用 骗取 用 户 信 任 的 方法 取得 用 户 名 和 密码 , 只 有 答案 B 满 足 要 求 。 


19. 在 网 络 攻击 中 ， 攻 击 者 窃取 到 系统 的 访问 权 并 盗用 资源 进行 的 攻击 属于 s 
A. 拒绝 服务 
B. 侵入 攻击 
C. 信息 盗窃 
D. 信息 自 改 
答案 : B 


解答 : 侵入 攻击 符合 题 中 的 描述 。A、C、D 都 不 符合 或 不 完全 符合 题 中 的 描述 ， 因 此 选 B。 


20. 下 列 关 于 特征 和 行为 的 描述 中 ， 不 属于 DoS 的 是 
A. 利用 操作 系统 或 应 用 系统 的 薄弱 环节 发 起 攻击 
B. 生成 足够 多 的 业务 量 拖 垮 服务 器 
C. 对 计算 机 系统 资源 进行 极 大 的 占用 
D. 使 用 电子 邮件 地 址 列表 向 其 他 计算 机 发 送 自己 的 副本 


解答 : 只 有 D 不 属于 拒绝 服务 攻击 (DoS) 的 特征 和 行为 。 

二 、 填 空 题 

案 : 1. 破坏 计算 机 数据 并 影响 计算 机 正常 工作 的 ， 合 法 程序 
- 可 触发 性 ， 非 授权 执行 性 


1 
2 

3. 一 段 具 有 破坏 性 的 程序 代码 ， 计 算 机 系统 内 部 
4. 蠕虫 病毒 
5 
6 
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. 漏洞 扫描 
. 集中 式 ， 分 布 式 


1. 计算 机 病毒 是 一 段 _ 破 坏 计算 相 影响 计算 机 正常 工作 的 程序 ， 它 不 单独 存在 ， 经 
常 是 附属 在 的 起 、 未 或 磁盘 引导 区 、 分 配 表 等 存储 器 件 中 。 

2. 计算 机 病毒 的 5 个 特征 是 ， 主动 传染 性 、 破 坏 性 、 可 触发 性 、 寄 生性 (隐蔽 性 ) 和 非 授 
权 执 行 性 。 

3. 计算 机 病毒 是 一 段 具 有 破坏 性 的 程序 代码 ， 它 能 够 侵入 计算 机 系统 内 部 ， 并 且 能 够 通过 
修改 其 他 程序 ， 把 自己 或 者 自己 的 变种 复制 插入 其 他 程序 中 ， 这 些 程序 又 可 传染 别 的 程 
序 ， 实 现 繁殖 传播 。 

4. 蠕虫 病毒 是 一 组 计算 机 指令 或 者 程序 代码 ， 能 自我 复制 ， 通 常 左 入 在 计算 机 程序 中 ， 能 
够 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 的 使 用 。 

5. 漏洞 扫描 是 对 计算 机 系统 或 其 他 网 络 设备 进行 与 安全 相关 的 检测 ， 找 出 安全 隐患 和 可 被 
黑客 利用 的 漏洞 。 

6. DDos 的 攻击 形式 主要 有 集中 式 和 分 布 式 。 


三 、 问 答题 


1. 举 一 例 说 明 你 所 遇 到 的 信息 系统 安全 威胁 事件 。 

答 : 2015 年 底 , 我 的 一 个 在 国外 访 学 的 同事 QQ 账户 被 盗 , 有 一 个 人 冒充 他 和 我 聊天 ， 
要 我 给 相关 部 门 寄 1800 元 钱 ， 后 来 通过 核实 是 一 场 骗局 。 这 是 他 的 QQ 密码 被 黑客 破解 引 
起 的 安全 威胁 事件 。 


2. 什么 是 0day 漏洞 ? 
答 : 0day 漏洞 又 称 零 日 漏洞 ， 是 指 在 操作 系统 安全 补丁 发 布 前 被 黑客 了 解 和 掌握 的 漏 
洞 信息 。 
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3. 收集 充分 的 证 据 ， 论 述 病毒 程序 的 特征 。 

答 : 病毒 程序 的 五 个 特征 为 : 传染 性 ， 破 坏 性 ， 非 授权 执行 性 ， 隐 蔽 性 〈 寄 生性 )， 可 
触发 性 。 

(1) 传染 性 : 正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 
的 。 而 病毒 却 能 使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 上 。 计 
算 机 病毒 可 通过 各 种 可 能 的 渠道 ， 如 软盘 、 计 算 机 网 络 等 传染 其 他 的 计算 机 。 当 您 在 一 台 
机 器 上 发 现 了 病毒 时 ， 往 往 曾 在 这 台 计 算 机 上 用 过 的 软盘 已 感染 上 病毒 ， 而 与 这 台 机 器 相 
联网 的 其 他 计算 机 也 许 已 被 该 病毒 染 上 了 。 是 否 具 有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 
病毒 的 最 重要 的 条 件 。 

(2) 破坏 性 : 所 有 的 计算 机 病毒 都 存在 一 个 共同 的 危害 ， 即 降低 计算 机 系统 的 工作 效 
率 ， 占 用 系统 资源 ， 其 具体 情况 取决 于 入 侵 系统 的 病毒 程序 。 同 时 ， 计 算 机 病毒 的 破坏 性 
主要 取决 于 计算 机 病毒 设计 者 的 目的 ， 如 果 病 毒 设计 者 的 目的 在 于 彻底 破坏 系统 的 正常 运 
行 ， 那 么 这 种 病毒 对 计算 机 系统 进行 攻击 造成 的 后 果 是 难以 设想 的 ， 它 可 以 毁 掉 系统 的 部 
分 数据 ， 也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 。 

(3) 非 授权 执行 性 ， 病 毒 未 经 授权 而 执行 。 一 般 正常 的 程序 由 用 户 调用 ， 再 由 系统 分 
配 资源 ， 完 成 用 户 交 给 的 任务 。 其 目的 对 用 户 是 可 见 的 、 透 明 的 。 而 病毒 具有 正常 程序 的 
一 切 特性 ， 它 隐藏 在 正常 程序 中 ， 当 用 户 调用 正常 程序 时 窃取 到 系统 的 控制 权 ， 先 于 正常 
程序 执行 ， 病 毒 的 动作 、 目 的 对 用 户 是 未 知 的 ， 是 未 经 用 户 允 许 的 。 

(4) 隐蔽 性 :病毒 一 般 是 具有 很 高 编程 技巧 且 短小 精 悍 的 程序 ， 通 常 附 在 正常 程序 中 
或 磁盘 较 隐蔽 的 地 方 ， 也 有 个 别 的 以 隐 含 文件 形式 出 现 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 
如 果 不 经 过 代码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 被 区 别 的 。 一 般 在 没有 防护 措施 的 情 
况 下 ， 计 算 机 病毒 程序 取得 系统 控制 权 后 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传 
染 后 ， 计 算 机 系统 通常 仍 能 正常 运行 ， 使 用 户 不 会 感到 任何 异常 ， 好 像 不 曾 在 计算 机 内 发 
生 过 什么 。 试 想 ， 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 机 器 马上 无 法 正常 运行 ， 那 么 它 本 身 
便 无 法 继续 进行 传染 了 。 正 是 由 于 隐蔽 性 ， 计 算 机 病毒 才 得 以 在 用 户 没 有 察觉 的 情况 下 扩 
散 并 游 功 于 世界 上 百 万 台 计 算 机 中 。 大 部 分 病毒 的 代码 之 所 以 设计 得 非常 短小 ， 也 是 为 了 
隐藏 。 病 毒 一 般 只 有 几 百 或 IKB， 而 PC 对 DOS 文件 的 存 取 速 度 可 达 每 秒 几 百 KB 以 上 ， 
所 以 病毒 转瞬 之 间 便 可 将 这 短 短 的 几 百 字 节 附 着 到 正常 程序 中 ， 使 人 不 易 察 觉 。 

(5) 可 触发 性 : 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 
可 触发 性 。 为 了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜 伏 ， 病 毒 既 
不 能 感染 ， 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 ， 又 要 维持 杀伤 力 ， 它 必须 
具有 可 触发 性 。 病 毒 的 触发 机 制 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具 有 预定 的 触 
发 条 件 ， 这 些 条 件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 
制 检查 预定 条 件 是 否 满足 ， 如 果 满 足 ， 就 启动 感染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ; 
如 果 不 满 足 ， 就 使 病毒 继续 潜伏 。 


4. 收集 资料 ， 解 析 下 列 恶意 代码 的 关键 技术 。 

(1)“ 求 职 信 ” 病 毒 。 

(2)“ 主 页 ”病毒 。 

(3)“ 欢 乐 时 光 ” 病 毒 。 

(4)“ 爱 虫 ”病毒 。 

(5)“ 美 丽 杀 ”病毒 。 

(6)“ 万 花 谷 ”病毒 。 

(7)“ 红 色 代 码 ” 病 毒 。 

答 : (1)“ 求 职 信 ” 病 毒 。“ 求 职 信 ”这 种 邮件 病毒 属于 黑客 木马 型 邮件 病毒 ， 采 用 双 
层 加 密 技 术 ， 其 基本 可 分 为 两 部 分 : 一 部 分 是 狭义 上 的 病毒 ， 它 感染 PE 结构 文件 ， 病 毒 大 
小 约 为 3KB， 用 汇编 语言 编写 : 第 二 部 分 是 蠕虫 ， 大 小 为 56KB， 它 在 运行 中 会 释放 并 运行 
一 个 11722B 的 带 毒 的 PE 文件 。 第 二 部 分 是 用 VC++ 编 写 的 ， 它 只 可 在 Windows 9X 或 
Windows 2000 上 运行 ,在 NT4 上 无 法 运行 。 该 病毒 利用 微软 系统 的 漏洞 可 以 自动 感染 ,无 
须 打开 附件 。 

(2)“ 主 页 ”病毒 。“ 主 页 ”病毒 和 前 不 久 流行 的 “ 库 尔 尼 科 娃 ” 病 毒 很 类 似 ， 当 银行 、 
电话 公司 、 政 府 机 构 的 工作 人 员 打 开 含 有 病毒 的 电子 邮件 时 ， 病 毒 将 它们 指引 到 一 个 色情 
网 站 (共有 4 个 类 似 网 页 )。 邮 件 以 Homepage 为 主题 ， 其 中 所 含 简短 信息 如 下 :“ 嗨 ! 你 应 
该 看 看 这 个 网 页 ! 真 的 很 酷 。” 一 旦 用 户 打开 名 为 Homepage.HTML.vbs 的 附件 ， 就 激活 了 
病毒 。 接 着 ， 病 毒 就 会 向 中 毒 机 器 电子 邮件 地 址 簿 中 的 各 个 用 户 发 出 大 量 邮件 ， 从 而 导致 

- 些 机 构 的 邮件 系统 陷入 瘫痪 ， 无 法 正常 发 送 邮 件 。 

(3)“ 欢 乐 时 光 ” 病 毒 。“ 欢 乐 时 光 ”(VBS.Haptime.A@mm) 是 一 个 VB 源 程序 病毒 ， 
专门 感染 .htm、.html、 .vbs、.asp 和 .htt 文件 。 它 作为 电子 邮件 的 附件 , 并 利用 Outlook Express 
的 性 能 缺陷 把 自己 传播 出 去 。 一 个 被 人 们 所 知 的 Microsoft Outlook Express 的 安全 漏洞 可 以 
在 你 没有 运行 任何 附件 时 就 运行 自己 ， 还 利用 Outlook Express 的 信纸 功能 使 自己 复制 在 信 
纸 的 HTML 模板 上 以 便 传 播 。 它 结合 了 晴 虫 特性 和 在 用 户 不 直接 打开 情况 下 直接 运行 特性 ， 
同时 能 够 感染 本 地 的 网 页 及 脚本 文件 。 

(4)“ 爱 虫 ” 病 毒 。 这 个 病毒 是 通过 Microsoft Outlook 电子 邮件 系统 传播 的 ， 邮 件 的 主 
题 为 IOVEYOU， 并 包含 一 个 附件 。 一 旦 在 Microsoft Outlook 里 打开 这 个 邮件 ， 系 统 就 会 
自动 复制 并 向 地 址 簿 中 的 所 有 邮件 地 址 发 送 这 个 病毒 。“ 我 爱 你 ”病毒 又 称 “ 爱 虫 ”病毒 ， 
是 一 种 蠕虫 病毒 ， 它 与 1999 年 的 梅 丽 莎 病毒 非常 相似 。 据 称 ， 这 个 病毒 可 以 改写 本 地 及 网 
络 硬 盘 上 面 的 某 些 文件 。 用 户 机 器 感染 病毒 以 后 ， 邮 件 系 统 将 会 变 慢 ， 并 可 能 导致 整个 网 

(5) “美丽 杀 ” 病 毒 ， 即 Melissa 病毒 ， 是 一 种 快速 传播 的 能 够 感染 使 用 Microsoft Word 
97 和 Microsoft Office 2000 的 计算 机 宏 病 毒 。 病 毒 通过 E-mail 传播 ， 传 播 速度 非常 快 ， 从 
1999 年 3 月 26 日 首次 被 发 现 到 3 月 29 日 , 它 已 经 到 达 100000 多 台 计 算 机 。 一 些 站 点 不 得 
不 让 它们 的 主 系统 离线 。 据 某 站 点 称 ,它们 的 系统 在 45 分 钟 之 内 就 收 到 32000 份 包括 Melissa 
病毒 的 邮件 信息 副本 。 

Melissa 病毒 通常 以 Important Message From*……: (来 自 …… 的 重要 信息 ) 为 主题 。 从 表 


面 上 看 ， 像 是 熟人 或 朋友 发 来 的 邮件 。 邮 件 的 正文 上 写 道 : Here is the message you asked 
for…don’t tell anyone else:”( 这 是 你 向 我 要 的 那 份 文 件 …… 不 要 让 别人 看 到 )。 邮 件 的 附件 
是 一 个 Word 文档 。 如 果 收 到 邮件 的 人 打开 了 这 个 文档 ， 病 毒 就 会 窜 入 他 的 电子 通讯 短 中 ， 
选择 最 前 面 的 50 人 将 染 有 病毒 的 邮件 发 出 。 

(6)“ 万 花 谷 ”病毒 。 该 病毒 是 一 个 比较 有 代表 性 的 恶意 代码 网 页 病毒 ， 在 一 个 叫 “ 万 
花 谷 ”的 网 站 传 出 ， 这 是 利用 Java 最 新 技术 进行 破坏 的 一 个 恶意 代码 。 

该 病毒 的 JS/On888 是 一 个 新 的 含有 有 害 代码 的 ActiveX 网 页 文件 ， 它 通过 一 个 网 络 
地 址 对 计算 机 用 户 造成 破坏 ， 其 破坏 特性 如 下 : 四 用 户 不 能 正常 使 用 Windows 的 DOS 功 
能 程序 。@@ 用 户 不 能 正常 退出 Windows; @@ 开 始 菜单 上 的 “关闭 系统 ”“ 和 运行 ”等 栏目 被 屏 
珊 ， 防 止 用 户 重 新 以 DOS 方式 启动 ， 关 闭 DOS 命令 、 关 闭 REGEDIT 命令 等 。@IE 浏 
览 器 的 首页 和 收藏 夹 中 都 加 入 了 含有 该 有 害 网 页 代码 的 网 络 地 址 。 

(7)“ 红 色 代 码 ” 病 毒 。“ 红 色 代 码 ” 病 毒 是 一 种 新 型 网 络 病毒 ， 其 传播 使 用 的 技术 可 
以 充分 体现 网 络 时 代 网 络 安全 与 病毒 的 巧妙 结合 ， 将 网 络 蠕虫 、 计 算 机 病毒 、 木 马 程 序 合 
为 一 体 ， 开 创 了 网 络 病毒 传播 的 新 路 ， 可 称 之 为 划时代 的 病毒 。 

该 蠕虫 感染 运行 Microsoft Index Server 2.0 的 系统 ， 或 是 在 Windows 2000、IIS 中 启用 
了 indexing service〈 索 引 服务 ) 的 系统 。 该 蠕虫 利用 了 一 个 缓冲 区 溢出 漏洞 进行 传播 〈 未 加 
限制 的 Index Server ISAPI Extension 缓冲 区 使 Web 服务 器 变 得 不 安全 )。 蠕 虫 只 存在 于 内 存 
中 ， 并 不 向 硬盘 复制 文件 。 

蠕虫 的 传播 是 通过 TCP/IP 和 端口 80， 利 用 上 述 漏洞 ， 里 虫 将 自己 作为 一 个 TCP/P 流 
直接 发 送 到 染 毒 系统 的 缓冲 区 ， 蠕 虫 依次 扫描 Web， 以 便 能 够 感染 其 他 系统 。 一 旦 感染 了 
当前 的 系统 ,蠕虫 就 会 检测 硬盘 中 是 否 存 在 notworm， 如 果 该 文件 存在 ,蠕虫 将 停止 感染 其 
他 主机 。 


5. 在 什么 情况 下 ， 病 毒 能 感染 被 写 保护 的 文件 ? 

答 : 举例 来 说 ，Windows XP Embedded 产品 对 系统 盘 进 行 写 保护 ， 如 果 对 写 保护 的 磁 
盘 进 行 病毒 感染 需要 改变 系统 的 某 些 设置 ， 就 需要 把 磁盘 写 保护 改 为 Disable 状态 ， 操 作 
如 下 。 

(1) 在 Start 中 运行 Run 菜单， 在 Run 的 Open 栏目 中 输入 CMD 后 单 击 OK 按钮 ， 进 
入 命令 行 状态 。 

(2) 执行 ewfimgr c: 命令 查看 State 栏 的 EWF 状态 ， 若 是 Enable 状态 ， 则 可 在 命令 行 
下 执行 ewfmgr-commitanddisable c: 命令 ， 将 磁盘 写 保护 改 为 Disable 状态 。 

(3) 重新 启动 计算 机 ， 确 认 磁 盘 写 保护 为 Disable 状态 ， 此 时 病毒 就 可 以 感染 磁盘 了 。 
对 于 受 写 保护 的 文件 执行 病毒 感染 ， 方 法 与 上 类 似 。 


6. 收集 资料 ， 解 析 一 种 最 新 病毒 的 关键 技术 。 

答 : 2017 年 5 月 13 日 ， 勒 索 病 毒 (WannaCry) 在 全 球 草 延 ， 据 不 完全 统计 ， 目 前 已 
经 入 侵 99 个 国家 7.5 万 台 计 算 机 ， 其 中 中 国 高 校 受 到 的 伤害 最 严重 ， 而 这 给 学 生 们 带 来 的 
打击 也 是 超级 大 的 ， 毕 竟 已 经 是 论文 季 了 。 该 勒索 蠕虫 一 旦 攻击 进入 能 连接 公 网 的 用 户 机 
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器 , 则 会 扫描 内 网 和 公 网 的 下 , 车 被 扫描 到 的 下 打开 了 445 端口 , 则 会 使 用 EtemalBlue ( 永 
恒 之 蓝 ) 漏洞 安装 后 门 。 一 旦 执行 后 门 ， 则 会 释放 一 个 名 为 Wana Cryptor 敲诈 者 病毒 ， 从 
而 加 密 用 户 机 器 上 所 有 的 文档 文件 进行 勒索 。 病 毒 导致 计算 机 内 的 文件 无 法 打开 ， 除 非 支 
付 一 定 的 比特 币 。 勒 索 软件 采用 的 是 RSA + AES 加 密 算法 加 密 文件 ， 属 于 几乎 无 法 在 有 限 
时 间 内 破解 的 加 密 算法 。 主 流 的 勒索 病毒 通常 有 两 种 文件 操作 方式 : 一 种 是 直接 加 密 履 盖 
原文 件 ， 这 种 情况 下 没有 勒索 者 的 密 钥 ， 几 乎 是 无 法 恢复 的 ; 另 一 种 则 是 先 加 密生 成 副本 
文件 ， 然 后 删除 原文 件 ， 这 种 情况 下 是 有 可 能 恢复 的 。 


7. 总 结 现代 病毒 技术 及 其 发 展 趋势 。 

答 : 现代 病毒 技术 有 以 下 五 个 特点 。 

(1) 病毒 变种 繁多 ， 演 化 日 趋 完善 。 

(2) 混合 通用 型 病毒 。 

(3) 隐藏 型 病毒 。 

(4) 多 态 型 病毒 。 

(5) 病毒 的 自动 化 生产 。 

现代 计算 机 病毒 的 发 展 趋势 仍然 是 隐蔽 性 和 非 授权 性 ， 并 在 短 时 间 内 大 量 传播 。 由 于 
用 户 对 网 络 的 高 度 信赖 ， 经 常 下 载 软件 ， 单 击 不 明 插件 ， 光 顾 富 有 吸引 力 的 小 网 站 ， 导 致 
计算 机 病毒 很 容易 入 侵 计 算 机 。 另 外 ， 用 户 在 实际 应 用 中 也 会 经 常 启动 在 线 阅读 ， 而 不 知 
部 分 计算 机 网 络 病毒 隐藏 在 文件 中 ， 导 致 病毒 传播 率 增长 迅猛 。 


8. 讨论 现代 病毒 检测 技术 的 发 展 趋势 。 

答 : 按照 先后 发 展 顺序 可 分 为 : 

(1) 用 静态 广 谱 特 征 扫 描 方式 检测 病毒 。 

(2) 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 结合 起 来 ， 将 查找 病毒 和 清除 病毒 合 二 
一 ， 形 成 一 个 整体 解决 方案 针对 计算 机 病毒 的 发 展 。 

(3) 基于 病毒 家 族 体系 的 命名 规则 、CRC 校 验 和 扫描 机 理 ， 采 用 启发 式 智能 代码 分 析 
模块 、 动 态 数据 还 原 模块 〈 能 查 出 隐藏 性 极 强 的 压缩 加 密 文件 中 的 病毒 )、 内 存 杀毒 模块 、 
自身 免疫 模块 等 先进 检测 方法 检测 病毒 。 


9. 讨论 现代 反 病 毒 技 术 的 发 展 趋势 。 

答 : 第 一 代 反 病 毒 技 术 是 单纯 地 基于 病毒 特征 判断 ， 直 接 将 病毒 代码 从 带 毒 文 件 中 删 
除 。 这 种 方式 可 以 准确 地 清除 病毒 ， 可 靠 性 很 高 。 后 来 病毒 技术 的 发 展 ， 特 别 是 加 密 和 变 
形 技术 的 运用 ， 使 得 这 种 简单 的 静态 扫描 方式 失去 作用 。 

第 二 代 反 病毒 技术 是 采用 静态 广 谱 特 征 扫描 方式 检测 病毒 。 这 种 方式 可 以 更 多 地 检测 
出 变形 病毒 ， 但 误 报 率 也 很 高 ， 尤 其 是 用 这 种 不 严格 的 特征 判定 方式 清除 病毒 带 来 的 风险 
性 很 大 ， 容 易 造成 文件 和 数据 的 破坏 。 所 以 ， 静 态 防 病毒 技术 也 有 难以 克服 的 缺陷 。 

第 三 代 反 病毒 技术 的 主要 特点 是 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 结合 起 来 ， 将 查 
找 病 毒 和 清除 病毒 合 二 为 一 ， 形 成 一 个 整体 解决 方案 ， 能 够 全 面 实现 防 、 查 、 杀 等 反 病 毒 
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所 必 备 的 手段 ， 以 驻 留 内 存 的 方式 检测 病毒 的 入 侵 ， 凡 是 检测 到 的 病毒 都 能 清除 ， 不 会 破 
坏 文件 和 数据 。 随 着 病毒 数量 的 增加 和 新 型 病毒 技术 的 发 展 ， 静 态 扫描 技术 将 会 使 查 毒 软 
件 速度 降低 ， 驻 留 内 存 防 病毒 模块 也 容易 产生 误 报 。 

第 四 代 反 病毒 技术 则 是 针对 计算 机 病毒 的 发 展 ， 基 于 病毒 家 族 体系 的 命名 规则 、CRC 
校 验 和 扫描 机 理 ， 有 具备 启发 式 智能 代码 分 析 模 块 、 动 态 数据 还 原 模块 《能 查 出 隐藏 性 极 强 
的 压缩 加 密 文件 中 的 病毒 )、 内 存 杀 毒 模块 、 自 身 免疫 模块 等 先进 杀毒 方法 的 反 病 毒 技术 。 
它 较 好 地 解决 了 以 前 防 病毒 技术 顾此失彼 、 此 消 彼 长 的 状况 。 


10. 收集 资料 ， 讨 论 针对 当前 3 种 流行 病毒 的 查 、 杀 和 感染 后 的 恢复 方法 。 

答 : 举例 来 说 ， 鬼 影 病毒 是 当之无愧 的 2012 年 度 毒 王 ， 它 主要 依靠 带 毒 游戏 外 挂 或 色 
播 传播 ，2012 年 内 出 现 数 个 变种 ， 包 括 鬼 影 5、 鬼 影 6、 鬼 影 6 变种 (CF 三 尸 串 ) 等 ， 它 和 杀 
毒 软件 的 技术 对 抗 也 达到 了 一 个 新 的 高 度 。 经 常 下 载 使 用 带 毒 游戏 外 挂 的 计算 机 用 户 是 感 
染 鬼 影 病毒 的 高 危 群体 。 

可 以 采用 主流 的 杀毒 软件 查 杀 鬼 影 病毒 。 由 于 鬼 影 病毒 并 不 破坏 文件 ， 计 算 机 中 的 文 
件 不 会 被 破坏 或 者 感染 ， 所 以 可 以 把 计算 机 中 的 原 有 重要 文件 提前 复制 出 来 。 另 外 ， 鬼 影 
病毒 感染 的 是 引导 区 ， 所 以 需要 使 用 工具 恢复 引导 区 后 再 使 用 杀毒 软件 杀毒 。 或 者 全 盘 格 
式 化 计算 机 ， 重 新 分 区 ， 重 写 MBR〈 主 引导 记录 )， 然 后 重 装 系统 也 可 以 解决 鬼 影 病毒 的 
感染 问题 。 其 他 病毒 及 查 杀 和 感染 后 的 恢复 方法 ， 读 者 可 以 自行 查阅 相关 网 页 内 容 。 


11. 收集 资料 ， 讨 论 针对 当前 3 种 流行 蠕虫 的 查 、 杀 和 感染 后 的 恢复 方法 。 

答 : 1) 勒索 病毒 

2017 年 5 月 12 日 , 黑客 借助 由 美国 国家 安全 局 泄露 出 的 漏洞 攻击 工具 , 利用 高 危 漏 洞 
EternalBlue( 永 恒 之 蓝 ) 在 世界 范围 内 传播 WannaCry 勒索 病毒 ， 致 使 WannaCry 勒索 病毒 大 
爆发 。 据 相关 报道 ， 包 括 俄罗斯 、 美 国 、 英 国 、 中 国 等 在 内 的 150 多 个 国家 、 地 区 近 30 万 
台 设 备 均 受到 其 攻击 。 其 影响 涉及 教育 、 金 融 、 能 源 和 医疗 等 众多 行业 ， 英 国 国 家 医疗 服 
务 体系 遭遇 了 大 规模 网 络 攻 击 ， 多 家 公立 医院 的 计算 机 系统 几乎 同时 瘫痪 ， 电 话 线 路 也 被 
切断 ， 导 致 很 多 急诊 病人 被 迫 转移 。 在 我 国 ， 部 分 校园 网 用 户 受害 严重 ， 实 验 室 数据 和 毕 
业 设 计 被 锁定 加 密 ， 部 分 大 型 企业 由 于 应 用 系统 和 数据 库 文件 被 加 密 后 无 法 正常 工作 。 

感染 WannaCry 勒索 病毒 的 计算 机 ,其 文件 将 会 被 加 密 锁 死 ， 黑客 通常 通过 这 种 办 法 向 
受害 者 索要 赎金 ， 在 受害 者 支付 赎金 之 后 再 为 其 提供 解密 密 钥 恢复 文件 。 但 由 于 WannaCry 
勒索 病毒 会 让 黑客 无 法 判断 究竟 哪些 受害 者 支付 了 赎金 ， 因 此 很 难 向 支付 赎金 的 受害 者 提 
供 解密 密 钥 ， 所 以 即便 支付 了 赎金 ， 受 到 WannaCry 勒索 病毒 攻击 的 受害 者 也 极 有 可 能 永久 
失去 其 文件 。 

WannaCry 勒索 病毒 可 以 分 为 蠕虫 部 分 和 勒索 病毒 部 分 。 蠕 虫 部 分 用 于 传播 并 释放 勒索 
病毒 。 勒索 病毒 部 分 用 于 加 密 用 户 文件 并 索要 赎金 。 通 过 对 WannaCry 勒索 病毒 的 分 析 ， 发 
现 它 先 加 密 用 户 文件 ， 在 生成 加 密 文件 之 后 再 删除 原始 文件 ， 虽 然 有 通过 文件 恢复 类 工具 
恢复 原始 未 加 密 文件 的 可 能 , 但 是 因为 WannaCry 勒索 病毒 对 文件 系统 的 修改 操作 太 过 频繁 ， 
致使 被 删除 的 原始 文件 数据 块 被 覆盖 ， 导 致 实际 恢复 效果 极为 有 限 。 因 此 ， 在 受 WannaCry 
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勒索 病毒 感染 后 ， 不 应 该 支付 赎金 ， 可 以 使 用 一 些 安全 厂商 提供 的 解密 工具 而 实质 上 是 文 
件 恢复 工具 尝试 恢复 一 些 被 删除 的 文件 , 但 由 于 其 作用 十 分 有 限 ， 所 以 在 感染 WannaCry 勒 
索 病毒 之 后 只 能 做 好 丢失 文件 的 准备 ， 重 装 系统 。 

也 正 是 由 于 在 感染 WannaCry 勒索 病毒 之 后 几乎 没有 办 法 找 回 丢失 的 文件 ， 因 此 ,做 好 
病毒 预防 工作 极为 重要 ， 以 下 是 几 点 预防 措施 。 

(1) 用 户 在 开机 时 需 断 开 网 络 ， 这 样 基本 可 以 避免 被 勒索 病毒 感染 。 开 机 后 应 尽快 想 
办 法 打上 安全 补丁 ， 打 好 安全 补丁 后 才能 够 联网 。 

(2) 定期 对 计算 机 中 的 重要 文件 资料 进行 备份 ， 养 成 定期 备份 的 好 习惯 ， 这 样 ， 即 便 
不 小 心中 了 病毒 ， 丢 失 了 文件 ， 我 们 依旧 有 备份 的 文件 避免 自身 的 损失 。 

(3) 定期 对 操作 系统 和 计算 机 软件 进行 更 新 ， 不 要 将 系统 和 软件 的 自动 更 新 关闭 ， 以 
保持 系统 和 软件 在 漏洞 方面 的 修复 。 

2)“ 熊 猫 烧香 ”病毒 

用 户 被 感染 “熊猫 烧香 ”病毒 之 后 ， 一 定 大 小 的 可 执行 文件 图 标 就 会 全 部 改 成 “一 只 
熊猫 手 捧 三 支 香 ”的 新 图 标 。 这 一 病毒 能 中 止 大 量 反 病毒 软件 和 防火 墙 软件 进程 ， 并 可 以 
通过 网 页 浏览 、 局 域 网 共享 及 U 盘 等 多 种 途径 快速 传播 。 中 毒 的 计算 机 即使 重新 安装 了 操 
作 系统 ， 如 果 不 把 系统 盘 以 外 的 病毒 删除 干净 ， 也 很 容易 再 次 中 毒 ， 而 且 “ 熊 猫 烧香 ”还 
会 破坏 用 户 的 系统 Ghost 备 份 ,删除 以 gho 为 后 级 的 镜像 文件 ,使 得 用 户 难以 快速 恢复 系统 。 
除了 对 本 机 的 破坏 ,“ 熊 猫 烧 香 ” 还 会 不 断 地 下 载 其 他 木马 与 病毒 ， 并 且 盗 取 用 户 的 各 种 网 
络 账号 ， 以 达到 牟利 的 目的 。 

“熊猫 烧香 ”病毒 自 2006 年 12 月 初 开始 暴发 ， 危 害 最 烈 之 时 ， 甚 至 国内 多 家 门户 网 站 
都 被 种 植 这 一 病毒 ， 个 人 用 户 感染 者 数量 已 经 高 达 几 百 万 。 这 一 病毒 还 在 互联 网 上 引起 恐 
慌 ， 网 民 在 各 论坛 上 跟 帖 发 表 评论 545 万 余 条 。 

“熊猫 烧香 ”这 类 病毒 会 感染 系统 盘 以 外 的 分 区 ， 包 括 移动 硬盘 和 U 盘 等 驱动 器 ,在 这 
些 驱动 器 的 根 目录 下 生成 autorun 运行 项 目 。 当 用 户 双 击 染 毒 的 盘 符 时 ， 就 会 让 健康 的 系统 
感染 上 病毒 。 用户 在 使 用 外 来 的 器 盘 和 移动 存储 器 时 ， 按 住 Shift 键 后 再 接 入 系统 ， 防 止 驱 
动 器 自动 运行 ， 并 且 用 右键 菜单 中 的 “打开 ”查看 存储 器 中 的 内 容 。 如 果 发 现 驱 动 器 的 右 
键 菜单 上 有 auto 或 是 自动 播放 的 项 目 ， 则 该 驱动 器 有 很 大 可 能 已 经 感染 了 病毒 。 曾 经 中 过 
病毒 的 计算 机 的 非 系统 分 区 也 要 注意 ， 在 清除 病毒 或 重 装 系统 后 最 好 清理 、 检 查 可 执行 文 
件 ， 以 免 运 行 被 感染 的 可 执行 文件 后 再 次 中 毒 。 
于 “熊猫 烧香 ”及 其 变种 会 感染 可 执行 文件 和 删除 Ghost 的 备份 文件 ， 因 此 用 户 也 应 
该 事先 防范 。 软 件 的 安装 程序 使 用 WinRAR 等 压缩 软件 压缩 存放 ， 将 做 好 的 Ghost 备份 文 
件 的 gho 后 级 改名 。 用 户 建立 的 各 种 文档 应 该 做 多 个 备份 ， 系 统 中 “我 的 文档 ”的 位 置 也 
最 好 定位 在 C 盘 以 外 的 驱动 器 上 。 
于 “熊猫 烧香 ”病毒 以 及 各 种 变种 感染 系统 后 会 屏蔽 掉 知 名 杀毒 软件 的 进程 ， 即 使 
想 在 系统 中 安装 杀毒 软件 ， 也 会 以 失败 而 告终 。 更 有 甚 者 ， 一 些 变种 会 屏蔽 用 户 的 搜索 关 
键 字 ， 当 用 户 试图 在 网 络 上 搜索 一 些 和 病毒 相关 的 字眼 时 ， 浏 览 器 会 被 强行 关闭 。 所 以 ， 
中 了 病毒 的 计算 机 往往 很 难 自救 ， 用 户 最 好 的 选择 是 在 备份 相关 文件 后 重 装 操作 系统 。 

如 果 一 时 不 方便 重 装 操作 系统 ， 还 可 以 采用 如 下 方法 暂时 恢复 系统 使 用 。 
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(1) 在 计算 机 自 检 完毕 进入 操作 系统 前 按键 盘 上 的 F8 键 ， 选 择 安全 方式 进入 操作 
系统 。 

(2) 进入 系统 后 ， 运 行 msconfig 命令 启动 “系统 配置 实用 程序 ”， 将 “启动 ”标签 中 的 
不 明 程序 禁用 (如 果 不 能 判断 ， 推 荐 全 部 禁用 )， 再 将 “服务 ”项 目 中 的 非 微软 服务 全 部 
禁用 。 

(3) 运行 CMD 命令 进入 命令 行 方式 。 依 次 在 所 有 硬盘 分 区 根 目录 下 输入 attrib - h*.* 
命令 ， 然 后 用 del autorun.inf 删除 病毒 的 自动 运行 项 目 。 

经 过 以 上 三 步 处 理 后 ， 能 暂时 清除 “熊猫 烧香 ”和 一 些 变 种 ， 使 系统 恢复 可 用 状态 。 
当然 ， 最 好 的 办 法 还 是 重 装 系统 后 彻底 清除 染 毒 可 执行 文件 和 各 个 驱动 器 的 自动 运行 程序 。 

为 了 更 好 地 防御 此 类 病毒 ， 对 于 大 多 数 的 用 户 来 说 ， 安 装 一 款 合适 的 防 病毒 软件 是 非 
常 必要 的 。 国 内 的 360、 瑞 星 、 江 民 、 金 山 毒 霸 或 是 国外 的 诺顿 、 卡 巴 斯 基 等 都 有 很 好 的 查 
杀毒 能 力 。 其 次 ， 及 时 打 好 Windows 的 修正 程序 。 目 前 个 人 计算 机 和 商务 计算 机 上 安装 使 
用 的 都 是 美国 微软 公司 的 Windows 系列 操作 系统 。Windows 系统 推出 后 ， 微 软 公司 经 常 发 
布 修正 系统 bug 的 修正 程序 。 用 户 最 好 使 用 Windows 系统 的 更 新 功能 自动 下 载 修正 程序 ， 
修正 系统 的 bug， 提 高 系统 的 稳定 性 和 安全 性 ， 因 为 很 多 病毒 的 传播 和 破坏 都 是 利用 了 
Windows 的 bug。 及 时 修正 这 些 bug， 使 得 病毒 无 “后 门 ” 可 进 。 

3) 飞 客 蠕虫 病毒 

飞 客 蠕虫 最 早 发 现 于 2008 年 11 月 ， 它 以 Windows 操作 系统 为 攻击 目标 ， 现 存在 A、 
B、B++、C、E 5 个 主要 变种 ， 这 些 变种 的 功能 和 隐蔽 性 比 原始 程序 更 强 。 

飞 客 蠕虫 病毒 主要 是 借助 闪存 、 利 用 微软 的 MS08-067 漏洞 以 及 通过 加 挂 自 带 的 字典 猜 
解 存在 弱 口 令 主 机 使 用 IPC$ 通 道 进行 传播 的 。 当 飞 客 病毒 进入 系统 后 ， 首 先 破坏 系统 中 的 
默认 属性 设置 ， 接 着 会 自动 扫描 局 域 网 内 其 他 计算 机 是 否 存在 MS08-067 漏洞 或 者 弱 口 令 ， 
一 旦 发 现 有 问题 的 计算 机 系统 ， 就 会 通过 漏洞 攻击 或 者 通过 IPC$ 通 道 进行 远程 感染 。 如 果 
受 感染 的 计算 机 插入 UU 盘 ， 飞 客 蠕虫 就 会 向 品 盘 写 入 病毒 体 ， 创 建 Autorun.inf， 当 其 他 计 
算 机 插入 此 梧 盘 ， 即 可 通过 “自动 运行 ”的 功能 受到 感染 。 

飞 客 蠕虫 的 病毒 主体 仅仅 是 一 个 动态 链接 库 (DLL) 文件 ， 不 同 于 传统 的 一 些 蠕虫 病 
毒 。 传 统 病毒 主体 往往 是 一 个 可 执行 的 .exe 文件 。 这 些 蠕虫 病毒 可 能 是 自身 就 带 有 病毒 功 
能 ， 也 可 能 是 运行 后 释放 出 带 有 病毒 功能 的 DLL 或 者 sys 文件 。 飞 客 蠕虫 只 有 一 个 DLL 文 
件 ， 这 种 蠕虫 主体 文件 本 身 无 法 直接 执行 ， 但 是 可 以 用 rund1132.exe 加 载 或 者 作为 模块 加 
载 在 其 他 进程 中 运行 。 同 时 ， 与 以 往 病 毒 相 比 ， 飞 客 蠕 虫 可 以 通过 P2P 自我 更 新 ， 这 也 就 
意味 着 通过 它 ， 控 制 者 可 以 随时 为 其 升级 ， 实 现 各 种 功能 。 飞 客 蠕虫 在 系统 中 运行 之 后 ， 
首先 会 检查 Workstation、Server 和 Computer browser 这 3 个 服务 ， 如 果 有 其 中 一 个 服务 未 
启动 ， 则 病毒 功能 终止 。 如 果 这 3 个 服务 都 启动 ， 则 蠕虫 启动 相应 的 病毒 功能 ， 枚 举 局 域 
网 内 的 人 P 地 址 ， 并 对 每 个 存活 的 主机 尝试 进行 MS 08-067 漏洞 利用 攻击 ， 一 旦 攻击 成 功 ， 
就 会 将 自身 复制 到 被 攻陷 的 系统 中 ， 并 在 其 内 存 中 运行 。 

首先 , 在 受害 主机 IH 上 通过 ping 命令 和 浏览 百度 等 网 站 证 明 网 络 是 畅通 的 , 可 以 正常 
上 网 。 然 后 ， 试 图 访问 微软 公司 的 恶意 软件 删除 工具 网 站 ， 结 果 发 现 不 能 访问 ， 这 是 显著 
的 飞 客 蠕虫 中 毒 现象 ， 即 不 能 访问 许多 系统 升级 和 病毒 软件 升级 网 站 。 


确定 主机 IH 是 被 蠕虫 病毒 感染 后 ， 接 下 来 的 任务 就 是 要 找 出 具体 感染 病毒 的 文件 ， 准 
确 报 出 病毒 名 称 ， 并 对 其 进行 查 杀 、 清 除 等 工作 。 

检测 与 清除 步骤 一 : 使 用 Windows 恶意 软件 删除 工具 检测 。 通 过 主机 SPH 从 互联 网 上 
下 载 Microsoft 的 Windows 恶意 软件 删除 工具 Windows-KB890830-V4.13.exe, 在 主机 IH 上 
进行 病毒 检测 。 

检测 与 清除 步骤 二 : 使 用 Windows 清理 助手 进行 检测 。 通 过 主机 SPH 从 互联 网 上 下 载 
Windows 清理 助手 arswp3”x86.zip， 在 主机 王 上 进行 病毒 检测 。 结 果 发 现 该 工具 检测 到 
8 个 可 清理 对 象 ， 并 导出 这 8 个 可 清理 对 象 的 文件 备份 到 “病毒 检测 结果 文件 .zip”， 以 待 
验证 。 

检测 与 清除 步骤 三 : 使 用 Windows 清理 助手 进行 病毒 清除 。 在 检测 结果 界面 图 选中 全 
部 对 象 ， 然 后 单 击 “ 执 行 清理 ”按钮 就 可 以 清除 病毒 。 


12. 分 析 蠕 虫 与 病毒 的 区 别 ， 收 集资 料 ， 解 析 下 面 蠕虫 的 关键 技术 。 

(1) 蠕虫 王 。 

(2) 震荡 波 。 

答 : 病毒 和 蠕虫 都 会 导致 计算 机 信息 遭 到 破坏 , 它们 可 能 使 你 的 网 络 和 操作 系统 变 慢 ， 
危害 严重 时 甚至 会 完全 破坏 系统 ， 并 且 ， 它 们 还 可 能 使 用 你 的 计算 机 将 它们 自己 传播 给 你 
的 朋友 、 家 人 、 同 事 以 及 Web 的 其 他 地 方 ， 在 更 大 范围 内 造成 危害 。 他 们 都 是 人 为 编制 出 
的 恶意 代码 ， 都 会 对 用 户 造成 危害 ， 人 们 往往 将 它们 统称 为 病毒 ， 但 其 实 这 种 称 法 并 不 准 
确 ， 它 们 之 间 虽 然 有 共性 ， 但 也 有 很 大 的 差别 。 

计算 机 病毒 (computer virus) 根据 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》， 
病毒 的 明确 定义 是 指 “ 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 
响 计 算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 病 毒 必须 满足 两 个 条 件 : 
它 必 须 能 自行 执行 ， 它 必须 能 自我 复制 。 蠕 虫 (worm) 也 可 以 算是 病毒 中 的 一 种 ， 但 是 它 
与 普通 病毒 之 间 有 很 大 的 区 别 。 一 般 认 为 ， 蠕 虫 是 一 种 通过 网 络 传播 的 恶性 病毒 ， 它 具有 
病毒 的 一 些 共 性 ， 如 传播 性 、 隐 项 性 、 破 坏 性 等 ， 同 时 具有 自己 的 一 些 特征 ， 如 不 利用 文 
件 寄生 (有 的 只 存在 于 内 存 中 )， 对 网 络 造成 拒绝 服务 ， 与 黑客 技术 相 结 合 ， 等 等 。 普 通病 毒 
需要 传播 受 感染 的 驻 留 文件 进行 复制 ， 而 蠕虫 不 使 用 驻 留 文件 即 可 在 系统 之 问 进行 自我 复 
制 ， 普 通病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ， 而 里 虫 病毒 的 传染 目标 是 
互联 网 内 的 所 有 计算 机 。 它 能 控制 计算 机 上 可 以 传输 文件 或 信息 的 功能 ， 一 旦 系统 感染 了 
蠕虫 ， 里 虫 即 可 自行 传播 ， 将 自己 从 一 台 计 算 机 复制 到 另 一 台 计 算 机 ， 更 危险 的 是 ， 它 还 
可 大 量 复制 。 因 而 ， 在 产生 的 破坏 性 上 ， 蠕 虫 病毒 也 不 是 普通 病毒 能 比拟 的 ， 网 络 的 发 展 
使 得 蠕虫 可 以 在 短 短 的 时 间 内 蔓延 整个 网 络 ， 造 成 网 络 瘫痪 ! 

(1) 蠕虫 王 : 该 蠕虫 攻击 安装 有 Microsoft SQL 的 NT 系列 服务 器 ， 该 病毒 尝试 探测 被 
攻击 机 器 的 1434/UDP 端口 ， 如 果 探 测 成 功 ， 则 发 送 376B 的 蠕虫 代码 1434/UDP 端口 为 
Microsoft SQL 开放 端口 。 该 端口 在 未 打 补 丁 的 SQL Server 平台 上 存在 缓冲 区 溢出 漏洞 ， 使 
蠕虫 的 后 续 代码 能 够 有 机 会 在 被 攻击 机 器 上 运行 进一步 传播 ， 导 致 系统 瘫痪 ,停止 服务 。 
攻击 对 象 多 为 Windows XP、Windows NT， 不 攻击 Windows 9X。 
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(2) 震荡 波 : 具体 技术 特征 如 下 。 

A. 感染 系统 为 Windows 2000、Windows Server 2003、Windows XP、Windows 7。 

B. 利用 微软 的 漏洞 MS04-011。 

C. 病毒 运行 后 ， 会 自身 复制 为 %WinDir%wnapatch.exe。 

D. 在 注册 表 启 动 项 HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\ 
Current Version\Run 下 创建 : "napatch.exe" = %WinDir%\napatch.exe; 这 样 , 病毒 在 Windows 
启动 时 就 得 以 运行 。 

E. 在 TCP 端口 5554 建立 FTP 服务 ， 用 以 自身 传播 给 其 他 计算 机 。 

F. 随机 在 网 络 上 搜索 机 器 ， 向 远程 计算 机 的 445 端口 发 送 包 含 后 门 程序 的 非法 数据 ， 
远程 计算 机 如 果 存 在 MS04-011 漏洞 ， 就 会 自动 运行 后 门 程序 ， 打 开 后 门 端口 9996。 病 毒 
利用 后 门 端口 9996， 使 得 远程 计算 机 连接 病毒 打开 的 FTP 端口 5554， 下 载 病毒 体 并 运行 ， 
从 而 遭 到 感染 。 

G. 病毒 还 会 利用 漏洞 攻击 lsass.exe 进程 ， 被 攻击 计算 机 的 lsass.exe 进程 会 瘫痪 ， 
Windows 系统 会 有 1 分 钟 倒计时 关闭 的 提示 。 

H. 病毒 在 C:\win32.log 中 记录 其 感染 的 计算 机 数目 和 下 地 址 。 


13. 收集 资料 ， 讨 论 针对 当前 3 种 流行 木马 的 防范 及 清除 策略 。 

答 : (1)“ 网 络 公 牛 ”。 

此 种 流行 木马 程序 没有 采用 文件 关联 功能 ， 采 用 的 是 文件 捆绑 功能 ， 要 清除 其 非常 困 
难 ! 你 可 能 要 问 : 那么 其 他 木马 为 什么 不 用 这 个 功能 ? 防范 要 点 是 监测 易 被 捆绑 文件 长 度 ， 
如 果 发 现 文件 长 度 发 生 了 变化 ， 就 可 初步 断定 自己 中 了 “网 络 公牛 ”木马 病毒 。 

清除 方法 : 

A. 删除 网 络 公牛 的 自 启动 程序 C:\*WINDOWS\SYSTEM\CheckDll.exe。 

B. 把 网 络 公牛 在 注册 表 中 建立 的 键 值 全 部 删除 (上 面 列 出 的 那些 键 值 全 部 删除 )。 

C. 检查 上 面 列 出 的 文件 ， 如 果 发 现 文件 长 度 发 生变 化 〈 大 约 增加 了 40KB， 可 以 通过 
与 其 他 机 子 上 的 正常 文件 比较 而 知 )， 就 删除 它们 ! 然后 单 击 “ 开 始 一 附件 一 系统 工具 一 系 
统 信息 一 工具 一 系统 文件 检查 器 ”在 弹出 的 对 话 框 中 选中 * 从 安装 软盘 提取 一 个 文件 (BE)” 
在 框 中 填 入 要 提取 的 文件 〈 前 面 你 删除 的 文件 )， 单 击 “确定 ”按钮 ， 然 后 按 屏 幕 提 示 将 这 
些 文件 恢复 即 可 。 如 果 是 开机 时 自动 运行 的 第 三 方 软件 ， 如 realplay.exe、QQ、ICQ 等 被 捆 
绑 上 了 ， 那 就 得 把 这 些 文件 删除 ， 再 重新 安装 。 

(2) 网 络 神偷 。 

网 络 神偷 又 名 Nethief， 是 第 一 个 反弹 端口 型 木马 。 大 多 数 的 防火 墙 对 于 由 外 面 连 入 本 
机 的 连接 都 会 进行 非常 严格 的 过 滤 ， 但 是 对 于 由 本 机 发 出 的 连接 ， 却 跑 于 防范 (当然 ， 有 
的 防火 墙 两 方面 都 很 严格 )。 于 是 ， 与 一 般 的 木马 相反 ， 反 弹 端口 型 木马 的 服务 端 (被 控制 
端 ) 使 用 主动 端口 ， 客 户 端 (控制 端 ) 使 用 被 动 端口 ， 当 要 建立 连接 时 ， 由 客户 端 通过 FTP 
主页 空间 告诉 服务 端 :“ 现 在 开始 连接 我 吧 !” 并 进入 监听 状态 ， 服 务 端 收 到 通知 后 ， 就 会 
开始 连接 客户 端 。 为 了 隐藏 起见， 客户 端的 监听 端口 一 般 开 在 80， 这 样 ， 即 使 用 户 使 用 端 
口 扫描 软件 检查 自己 的 端口 ， 发 现 的 也 是 类 似 “TCP 服务 端的 下 地址: 1026 客户 端的 中 
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地 址 : 80 ESTABLISHED ”的 情况 ， 稍 微 玻 忽 一 点 就 会 以 为 是 自己 在 浏览 网 页 。 因 为 没有 哪 
个 防火 墙 不 给 用 户 向 外 连接 80 端口 。 

清除 方法 : 

A. 网 络 神偷 会 在 注册 表 HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows 
\CurrentVersion\Run 下 建立 键 值 intemet， 其 值 为 internetexe /s， 将 键 值 删除 。 

B. 删除 其 自 启动 程序 C\WINDOWS\SYSTEMNNTERNETEXE。 

(3) WAY2.4。 

WAY2.4 又 称 火 凤凰 、 无 赖 小 子 ， 是 国产 木马 程序 ， 默 认 连 接 的 端口 是 8011。 众 多 木 
马 高 手 在 介绍 这 个 木马 时 都 对 其 强大 的 注册 表 操 控 功 能 赞 不 绝口 ， 也 正 因为 如 此 ， 它 对 我 
们 的 威胁 就 更 大 了 。WAY2.4 的 注册 表 操 作 的 确 有 特色 ,对 受 控 端 注册 表 的 读 写 ， 就 和 对 本 
地 注册 表 的 读 写 一 样 方便 。 

WAY2.4 服务 端 被 运行 后 在 C:\windows\system 下 生成 msgsvc.exe 文件 ， 图 标 是 文本 文 
件 的 图 标 , 很 隐蔽 ,文件 大 小 为 235008B， 文件 修改 时 间 为 1998 年 5 月 30 日 , 看 来 它 想 冒 
充 系统 文件 msgsvc32.exe。 同时 , WAY2.4 在 注册 表 HKEY_LOCAL MACHINE\SOFTWARE 
\Microsoft\Windows\CurrentVersion\Run 下 建立 串 值 Msgtask， 其 键 值 为 C\WINDOWS 
\SYSTEM\msgsvc.exe 。 此 时 如 果 用 进程 管理 工具 查看 ， 会 发 现 进 程 C:\windows\system 
\msgsvc.exe 赫然 在 列 ! 

清除 方法 : 

要 清除 WAY, 只 要 删除 它 在 注册 表 中 的 键 值 , 再 删除 C:\windows\system 下 的 msgsvc.exe 
文件 就 可 以 了 。 注 意 ， 在 Windows 下 直接 删除 msgsvc.exe 是 删 不 掉 的 ， 此 时 可 以 用 进程 管 
理工 具 终止 它 的 进程 ， 然 后 再 删除 它 。 或 者 到 DOS 下 删除 msgsvc.exe。 如 果 服 务 端 已 经 与 
可 执行 文件 捆绑 在 一 起 了 ， 那 就 只 有 将 那个 可 执行 文件 也 删除 了 ! 删除 前 请 做 好 备份 。 


14. 什么 叫 网 络 木马 攻击 ? 

答 : 网 络 木马 攻击 是 指 系统 中 被 植 入 的 、 人 为 设计 的 程序 ， 目 的 包括 通过 网 络 远程 控 
制 其 他 用 户 的 计算 机 系统 ， 窃 取信 息 资料 ， 并 恶意 致使 计算 机 系统 瘫痪 等 。 

RFC (Request for Comments，IETF 制定 的 Internet 标准 草案 ) 1244 中 是 这 样 描述 网 络 
木马 攻击 的 :“ 木 马 程序 是 一 种 程序 ， 它 能 提供 一 些 有 用 的 ， 或 是 仅 令 人 感 兴趣 的 功能 。 但 
是 , 它 还 有 用 户 不 知道 的 其 他 功能 , 例如 , 在 你 不 了 解 的 情况 下 复制 文件 或 窍 取 你 的 密码 。” 
这 个 定义 虽然 不 十 分 完善 ， 但 是 可 以 港 清 一 些 模糊 的 概念 。 首 先 ， 木 马 程序 并 不 一 定 实现 
某 种 对 用 户 来 说 有 意义 或 有 帮助 的 功能 ， 但 却 会 实现 一 些 隐 藏 的 、 危 险 的 功能 ， 其 次 ， 木 
马 实现 的 主要 功能 并 不 为 受害 者 所 知 ， 只 有 木马 程序 编制 者 最 清楚 ; 第 三 ， 这 个 定义 上 暗示 
“有 效 负载 ”是 恶意 的 。 

一 个 完整 的 木马 套装 程序 含 两 部 分 :服务 端 (服务 器 部 分 ) 和 客户 端 (控制 器 部 分 )。 
植 入 对 方 计算 机 的 是 服务 端 ， 而 黑客 正 是 利用 客户 端 进入 运行 了 服务 端的 计算 机 。 运 行 了 
木马 程序 的 服务 端 以 后 ， 会 产生 一 个 容易 迷惑 用 户 的 名 称 的 进程 ， 暗 中 打开 端口 ， 向 指定 
地 点 发 送 数据 〈 如 网 络 游戏 的 密码 、 实 时 通信 软件 密码 和 用 户 上 网 密码 等 )， 黑 客 甚至 可 以 
利用 这 些 打 开 的 端口 进入 计算 机 系统 。 这 时 你 计算 机 上 的 各 种 文件 、 程 序 ， 以 及 在 你 计算 
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机 上 使 用 的 账号 、 密 码 就 无 安全 可 言 了 。 


15. 木马 有 哪些 危害 ? 

答 : 木马 程序 具有 很 大 的 危害 性 ， 主 要 表现 在 : 自动 搜索 已 中 木马 的 计算 机 ， 管理 对 
方 资源 ， 如 复制 文件 、 删 除 文件 、 查 看 文件 内 容 、 上 传 文件 、 下 载 文件 等 ;跟踪 监视 对 方 
屏幕 ， 直接 控制 对 方 的 键盘 、 鼠 标 ; 随意 修改 注册 表 和 系统 文件 ， 共 享 被 控 计算 机 的 硬盘 
资源 ， 监 视 对 方 运 行 的 任务 且 可 终止 对 方 任务 ， 远 程 监测 和 操纵 计算 机 。 


16. 木马 按 破坏 功能 分 为 哪儿 种 ? 
答 : (1) 破坏 型 。 

(2) 密码 发 送 型 。 

(3) 远程 访问 型 。 

(4) 键盘 记录 木马 。 

(5) DoS 攻击 木马 。 

(6) 代理 木马 。 

(7) FTP 木马 。 

(8) 程序 杀手 木马 。 

(9) 反弹 端口 型 木马 。 


17. 典型 木马 有 哪些 特性 和 辅助 特点 ? 
答 : 木马 的 特性 包括 有 效 性 、 隐 蔽 性 、 顽 固 性 和 易 植 入 性 。 
辅助 特点 是 自动 运行 、 欺 骗 性 、 自 动 恢复 和 功能 的 特殊 性 。 


18. 木马 有 哪些 植 入 技术 ? 

答 : 木马 植 入 技术 可 以 分 为 主动 植 入 与 被 动 植 入 两 类 。 

所 谓 主 动 植 入 ， 就 是 攻击 者 主动 将 木马 程序 种 到 本 地 或 者 远程 主机 上 ， 这 个 行为 过 程 
完全 由 攻击 者 主动 掌握 。 

而 被 动 植 入 ， 是 指 攻击 者 预先 设置 某 种 环境 ， 然 后 被 动 等 待 目标 系统 用 户 的 某 种 可 能 
的 操作 ， 只 有 这 种 操作 执行 ， 木 马 程序 才 可 能 植 入 目标 系统 。 


19. 木马 自动 加 载 方式 有 哪 几 种 ? 

答 : 在 Windows 系统 中 ， 木 马 程序 的 自动 加 载 技术 主要 有 : 修改 系统 文件 ， 修 改 系统 
注册 表 ， 添 加 系统 服务 ; 修改 文件 打开 关联 属性 ; 修改 任务 计划 ; 修改 组 策略 ; 利用 系统 
自动 运行 的 程序 ;修改 启动 文件 夹 ;替换 系统 DLL 等 。 


20. 木马 是 如 何 隐藏 自己 的 ? 

答 : 要 隐藏 木马 的 服务 端 , 可 采用 伪 隐 藏 或 真 隐藏 。 伪 隐藏 是 指 程序 的 进程 仍然 存在 ， 
只 不 过 是 让 它 消失 在 进程 列表 里 。 真 隐藏 则 是 让 程序 彻底 消失 ， 不 以 一 个 进程 或 者 服务 的 
方式 工作 。 


21. 请 举例 说 明 几 种 常见 的 木马 程序 和 使 用 端口 号 。 
答 : 木马 程序 和 使 用 端口 号 列表 见 表 1-1。 
表 1-1 木马 程序 和 使 用 端口 号 列表 
端口 号 木马 软件 木马 软件 

8102 网 络 神偷 网 络 公牛 《netbull) 
2000 黑洞 2000 Back Orifice、DeepBO 
2001 黑洞 2001 蓝 色 火焰 
6267 广 外 女生 Netspy Dk 
7306 网 络 精灵 3.0 (Netspy 3.0) The Spy 
7626 冰河 Netspy 
8011 WRY、 赖 小 子 、 火 凤凰 BO jammerkillahv 
23444 网 络 公牛 (Netbull) ICOTrpjan 

22. 木马 的 远程 监控 功能 有 哪些 ? 

答 : 木马 的 远程 监控 功能 概括 起 来 有 以 下 几 点 : 获取 目标 机 器 信息 、 记 录用 户 事件 、 

远程 操作 。 
23. 如 何 对 木马 进行 防御 ? 
答 : 对 木马 进行 防御 可 以 采用 端口 扫描 和 连接 检查 ， 检 查 系 统 进程 ， 检 查 ini 文件 、 注 


册 表 和 服务 ， 监 视 网 络 通信 等 方法 。 


24. 简 述 常见 的 黑客 攻击 过 程 。 

答 : 常见 的 黑客 攻击 过 程 如 图 1-1 所 示 。 

25. 比较 病毒 、 蠕 虫 、 木 马 、 后 门 和 僵尸 。 

答 : 病毒 、 里 虫 、 木 马 、 后 门 和 僵尸 比较 见 表 1-2。 

表 1-2 ” 病毒、 蠕虫、 木马、 后 门 和 僵尸 比较 

攻击 后 果 
病毒 自主 ， 可 触发 文件 感染 
本 点 消耗 资源 
木马 窃取 信息 
后 门 | 帮助 攻击 
僵尸 发 动 分 布 式 拒绝 服务 攻击 
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制订 模拟 攻击 方案 


开始 渗透 测试 


得 到 用 户 E-mail 


导入 LC 本 地 破解 


获得 SAM 信 息 


获取 SAM 窗 码 散 列 


1-1 常见 的 黑客 攻击 过 程 
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26. 收集 国内 外 有 关 病 毒 和 其 他 恶意 程序 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

答 : 犯罪 分 子 常 利用 项 级 域名 的 模糊 改变 欺骗 用 户 。 顶级 域名 是 网 络 的 重要 组 成 部 分 ， 
一 个 网 站 的 最 后 几 个 字母 代码 能 告诉 我 们 它 是 在 哪里 注册 的 。 也 许 每 个 人 都 认识 .com 
和 .gov, 但 还 有 很 多 顶级 域名 (TLD ) 对 许多 人 来 说 可 能 很 陌生 。 例如 , .am 代表 亚美尼亚 ， 
.cm 代表 喀麦隆 。 骗子 就 是 从 用 户 的 无 知 中 获 利 的 , 许多 消费 者 在 搜索 时 从 来 不 注意 顶级 域 
名 的 后 级 。 许 多 消费 者 都 会 单 击 第 一 个 看 上 去 有 意思 的 结果 ， 而 犯罪 分 子 有 足够 的 时 间 为 
搜索 引擎 优化 自己 的 网 站 ， 这 样 消费 者 就 掉 入 了 骗子 们 的 圈套 。 

犯罪 分 子 是 如 何 滥用 顶级 域名 进行 非法 交易 的 ?举例 来 说 ， 网 站 很 有 可 能 植 入 一 个 流 
氓 反 病 毒 程 序 ， 希 望 消费 者 认为 这 是 一 个 警告 :“ 你 计算 机 中 有 病毒 ， 请 安装 此 软件 .” 这 
种 注册 商 辛苦 防范 的 行为 被 称 为 “ 误 植 域名 ”。 误 植 域名 涉及 各 种 各 样 的 网 站 : 如 从 用 户 输 
入 错误 中 获得 广告 收入 的 网 站 ， 向 你 推销 会 窃取 个 人 信息 或 安装 恶意 软件 的 成 熟 的 钓鱼 网 
站 地 址 的 网 站 等 。 

五 大 风险 注册 比例 最 高 的 项 级 域名 分 别 是 ，.com〔 商 业 广 告 )，.info( 信 息 )，.wn( 越 
南 )，.cm (喀麦隆 )，.am (亚美尼亚 )。 

全 球 分 布 在 前 20 个 最 危险 的 顶级 域名 中 ， 有 7 个 来 自 欧洲 、 中 东 和 非洲 地 区 ， 包 括 新 
进入 前 20 榜 单 的 亚美尼亚 〈.am) 和 波兰 〈.pl)。 亚 太 地 区 以 6 个 危险 顶级 域名 位 列 第 二 ， 
而 通用 域名 ,如 Network( .net) 占 了 前 20 中 的 5 席 。 唯 一 进入 前 20 的 美国 域名 是 United States 


(Cus)。 


27. 总 结 各 种 电磁 波 窃听 方法 的 技术 要 点 ， 提 出 相应 的 防范 设想 。 
答 : 电磁 波 窃听 可 以 截获 信息 ， 它 有 两 种 技术 ， 即 信号 拦截 窍 听 和 电磁 泄露 窃听 。 信 


号 拦截 窃听 也 称 为 搭 线 窃听 。 例 如 ， 将 窃听 器 的 两 根 接线 接 到 电话 线路 上 ， 直 接 截获 电话 
线路 中 的 电流 信号 。 另 外 ， 还 可 以 根据 电磁 感应 现象 将 感应 线圈 设置 在 电话 线 外 ， 电 话机 
下 ， 从 听 通 话 内 容 。 而 电磁 泄露 窃听 是 指 利用 电子 设备 中 的 杂 散 能 量 的 扩散 捕获 电磁 泄露 
信号 。 可 以 在 距离 更 远 的 地 方 捕获 强度 更 弱 的 电磁 波 信号 。 

对 于 电磁 波 窃听 的 防范 ， 有 以 下 措施 : 四 屏蔽 ;四 隔离 ，@ 低 辐射 ， 四 使 用 干扰 器 ， 
回 滤 波 ，@@ 接 地 ，@ 数 据 加密 和 数据 隐藏 。 


28. 收集 各 种 手机 监听 技术 要 点 ， 提 出 相应 的 防范 设想 。 

答 : 手机 监听 主要 有 三 种 技术 ， 有 具体 介绍 如 下 。 

(1) 截获 手机 电磁 波 ， 如 设立 伪 基 站 系统 ， 相 隔 数 万 里 的 人 们 能 够 通过 手机 对 话 ， 靠 
的 就 是 附近 的 基站 。 一 方面 ， 基 站 接收 信号 ; 另 一 方面 ， 基 站 负责 将 信号 传递 出 去 ， 在 通 
话 者 之 间 充 当 着 “桥梁 ”的 作用 。 而 这 个 伪 基 站 并 不 传输 信号 ， 只 接收 信号 。 伪 基站 大 小 
不 一 ， 规 模 小 点 的 伪 基 站 和 计算 机 主机 差不多 ， 但 是 它 却 能 接收 到 周围 所 有 的 通信 信号 。 
虽然 接收 那么 多 信号 ， 但 这 个 阻截 器 可 以 聪明 地 辨别 ， 找 到 打算 窃听 的 那个 手机 。 奥 秘 就 
在 于 伪 基 站 能 在 空中 获取 每 部 手机 的 IMSI 号 。 IMSI 号 就 像 手 机 的 “身份 证 号 ”独一无二 。 
伪 基 站 获取 这 个 号 码 后 ， 这 个 手机 上 发 出 的 所 有 信号 都 被 拦截 。 防 范 方法 包括 提高 对 不 明 
短信 和 不 明 号 码 的 鉴别 能 力 以 及 采用 手机 反 窃 听 设备 。 
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(2) 安装 手机 卧底 软件 一 一 木马 程序 。 

防范 手段 有 : 首先 ， 要 从 正规 渠道 购买 手机 。 其 次 ， 不 要 随便 到 非 指定 维修 点 修理 手 
机 ， 不 要 轻易 将 手机 借 给 别人 使 用 ， 另 外 可 以 定期 刷新 手机 系统 。 

(3) 复制 SIM 卡 。 

如 果 SIM 卡 被 复制 ， 手 机 隐私 将 会 泄露 。 在 有 和 母 卡 的 情况 下 ， 复制 SIM 卡 是 一 件 很 容 
易 的 事情 , 不过, 在 没有 和 母 卡 的 情况 下 , 复制 SIM 卡 的 难度 相当 大 。 防 窃听 方法 : 遗失 SIM 
卡 后 尽早 挂失 ， 一 般 情况 下 ， 要 防止 SIM 卡 被 复制 ， 手 机 用 户 须 保管 好 自己 的 手机 SIM 卡 
以 及 密码 ， 不 法 分 子 就 不 可 能 凭空 克隆 手机 卡 。 用 户 一 旦 丢失 SIM 卡 ， 应 该 立刻 挂失 。 


29. 收集 各 种 网 络 监听 技术 要 点 ， 提 出 相应 的 防范 设想 。 

答 : 这 里 主要 讨论 局 域 网 中 以 太 网 络 的 监听 技术 〈 或 称 嗅 探 技术 )。 以 太 网 有 两 种 形 
式 : 共享 式 和 交换 式 。 在 共享 式 局 域 网 中 ， 如 果 将 某 一 台 主 机 的 网 卡 设置 成 混杂 模式 ， 那 
么 ， 对 这 人 台 主 机 的 网 络 接口 而 言 ， 在 这 个 局 域 网 内 传输 的 任何 信息 都 是 可 以 被 听 到 的 ， 主 
机 的 这 种 状态 也 就 是 监听 模式 。 处 于 监听 模式 下 的 主机 可 以 嗅 探 到 同一 个 网 段 下 的 其 他 主 
机 发 送信 息 的 数据 包 。 网 卡 接收 到 数据 包 后 ， 就 会 将 其 传 给 上 一 层 处 理 ， 如 果 在 这 一 阶段 
使 用 嗅 探 软 件 提 供 一 定 的 捕获 和 过 滤 机 制 ， 就 可 以 达到 监听 信息 的 目的 。 

交换 式 以 太 网 是 用 交换 机 或 其 他 非 广播 式 交换 设备 组 建成 的 局 域 网 。 这 些 设 备 根据 收 
到 的 数据 帧 中 的 MAC 地 址 决定 数据 帧 应 发 向 交换 机 的 哪个 端口 。 由 于 端口 间 的 帧 传输 彼此 
屏蔽 ， 在 很 大 程度 上 解决 了 网 络 嗅 探 的 困扰 ， 但 随 着 嗅 探 技术 的 发 展 ， 交 换 式 以 太 网 中 同 
时 存在 网 络 嗅 探 的 安全 隐患 。 黑 客 可 以 通过 溢出 攻击 和 ARP 欺骗 技术 迫使 交换 机 退回 到 广 
播 模式 实现 监听 。 这 就 是 和 交换 式 局 域 网 与 共享 式 局 域 网 的 监听 区 别 , 对 于 交换 式 局 域 网 ， 
实施 监听 首先 要 进行 溢出 攻击 或 ARP 欺骗 。 

虽然 共享 式 局 域 网 中 的 嗅 探 很 隐蔽 ， 但 也 有 一 些 方法 帮助 判断 : 检测 处 于 混杂 模式 的 
网 卡 ， 网 络 通信 丢 包 率 非常 高 ， 网 络 带宽 出 现 反 常 检测 技术 ， 网 络 与 主机 响应 时 间 测 试 和 
ARP 检测 (如 ANTI SNIFF 工具 ) 等 。 

在 交换 网 络 下 防 监 听 ， 主 要 是 防御 ARP 欺骗 及 ARP 过载。 防御 ARP 欺骗 的 措施 主要 
包括 : 不 要 把 网 络 安全 信任 关系 建立 在 单一 的 全 或 MAC 基础 上 ， 理 想 的 关系 应 该 建立 在 
IP-MAC 对 应 关系 的 基础 上 。 

使 用 静态 的 ARP 或 者 IP-MAC 对 应 表 代 替 动 态 的 ARP 或 者 耻 -MAC 对 应 表 , 禁止 自动 
更 新 ， 使 用 手动 更 新 。 定 期 检查 ARP 请 求 ， 使 用 ARP 监视 工具 ， 如 ARPWatch 等 监视 并 探 
测 ARP 欺骗 ， 制 定 良 好 的 安全 管理 策略 ， 加 强 用 户 安全 意识 。 

ARP 过 载 则 是 指 通 过 发 送 大 量 ARP 数据 包 ， 使 得 交换 设备 出 现 信息 过 载 ， 被 迫 工作 于 
广播 模式 。 这 时 系统 管理 人 员 可 以 通过 在 本 地 网 络 中 加 入 交换 设备 ， 预 防 ARP 过 载 导 致 监 
听 嗅 探 的 侵入 。 


30. 收集 资料 ， 比 较 下 列传 输 介质 上 信息 被 监听 的 机 会 和 可 能 。 
(1) 以 太 网 。 
(2) 令 牌 网 。 


* 记 


(3) 电话 网 。 

(4) 有 线 电视 网 。 

(5) 微波 和 无 线 电 。 

答 : (1) 以 太 网 : 因为 以 太 网 是 一 种 广播 型 网 络 ， 所 以 大 多 数 网 络 数 据 的 截获 是 在 这 
种 网 络 上 实现 的 ， 被 监听 的 机 会 和 可 能 很 大 。 
(2) 令 牌 网 : 尽管 令 牌 网 并 不 是 一 个 广播 型 网 络 , 但 带 有 令 牌 的 那些 包 在 传输 过 程 中 
平均 要 经 过 网 络 上 一 半 的 计算 机 ， 使 得 网 络 监听 成 为 可 能 ， 但 是 令 牌 网 中 高 的 数据 传输 率 
使 网 络 监听 实现 起 来 变 得 非常 困难 。 

(3) 电话 网 ， 有线 电 话 网 可 以 被 一 些 电话 公司 协作 人 或 者 一 些 有 机 会 在 物理 上 访问 到 
线路 的 人 搭 线 窃听 。 无 线 电话 网 被 监听 的 可 能 性 较 大 。 

(4) 有 线 电视 网 :对 于 智能 电视 网 ， 存 在 监听 的 可 能 性 很 大 。 普 通 有 线 电 视 网 除 非 是 
相关 管理 人 员 进行 的 监听 ， 其 他 情况 下 被 监听 的 概率 小 。 

(5) 微波 和 无 线 电 监听 的 可 能 性 高 。 无 线 电 本 来 就 是 一 个 广播 性 的 传输 媒介 ， 任 何 
一 个 无 线 电 接收 机 都 可 以 截获 传输 的 信息 。 在 微波 线路 上 的 信息 也 会 被 截获 。 在 实际 中 ， 
高 速 的 调制 解 调 器 将 比 低速 的 调制 解 调 器 搭 线 穷 听 困 难 一 些 ， 因 为 高 速 调制 解 调 器 中 引入 
了 许多 频率 。CDMA 比 GSM 监听 的 可 能 性 小 一 些 。 


31. 请 解释 以 下 5 种 “窃取 机 密 攻 击 ” 方 式 的 含义 。 

(1) 网 络 踩点 〈footprinting)。 

(2) 扫描 攻击 (scanning)。 

(3) 协议 栈 指纹 stack fingerprinting) 鉴别 〈 也 称 操作 系统 探测 )。 

(4) 信息 流 嗅 探 (sniffering)。 

(5) 会 话 劫持 〈session hijacking)。 

答 :〈1) 在 典型 的 入 侵 过 程 中 ， 攻 击 者 在 实际 攻击 前 会 先进 行 信息 收集 和 分 析 工 作 ， 
也 就 是 所 谓 的 “网 络 踩点 ”。Web 页 面 盗 窃 同 样 也 是 为 了 完成 Web 攻击 前 的 踩点 工作 , 试图 
寻找 Web 应 用 和 服务 器 中 可 能 存在 的 安全 漏洞 。 攻 击 者 通过 对 各 个 网 页 页 面 源码 的 详细 分 
析 ， 找 出 可 能 存在 于 代码 、 注 释 或 者 设计 中 的 缺陷 和 脆弱 点 ， 以 此 确定 攻击 的 突破 口 。 

(2) 扫描 攻击 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 。 它 集成 了 常用 的 各 
种 扫描 技术 ， 能 自动 发 送 数据 包 去 探测 和 攻击 远 端 或 本 地 的 端口 和 服务 ， 并 自动 收集 和 记 
录 目 标 主 机 的 反馈 信息 ， 从 而 发 现 目标 主机 是 否 存活 、 目 标 网 络 内 使 用 的 设备 类 型 与 软件 
版 本 、 服 务 器 或 主机 上 各 TCP/UDP 端口 的 分 配 、 所 开放 的 服务 、 所 存在 的 可 能 被 利用 的 安 
全 漏洞 ， 据 此 提供 一 份 可 靠 的 安全 性 分 析 报告 ， 报 告 信息 系统 可 能 存在 的 脆弱 性 。 

(3) 利用 TCP/IP 堆栈 作为 特殊 的 “指纹 ” 以 确定 操作 系统 类 型 的 技术 称 为 协议 栈 指 
纹 识别 。 识 别 操作 系统 (Operating System，OS) 类 型 是 入 侵 或 分 析 漏 洞 和 各 种 安全 隐患 的 
基础 ， 可 分 为 主动 协议 栈 指纹 识别 和 被 动 协议 栈 指纹 识别 。 例 如 ，FIN 探测 主动 协议 栈 指纹 
识别 通过 向 目标 主机 上 的 一 个 打开 的 端口 发 送 一 个 FIN 分 组 ， 然 后 等 待 回 应 ; 根据 回应 信 
息 判断 操作 系统 类 型 ， 而 被 动 协 议 栈 指纹 识别 从 不 主动 发 送 数据 包 ， 只 是 被 动 地 捕获 远程 
主机 返回 的 包 分 析 其 OS 类 型 版 本 ， 如 根据 TIL (Time To Live) 值 判断 ，TTL 值 是 操作 系 
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统 对 出 站 的 信息 包 设置 的 存活 时 间 ， 不 同 操作 系统 设计 的 值 不 一 样 。 

(4) 信息 流 嗅 探 也 可 称 为 信息 流 监听 ， 也 就 是 在 通话 双方 未 授权 的 情况 下 实施 非法 窃 
听 或 嗅 探 。 这 里 主要 是 指 网 络 监听 ,可 以 分 为 共享 式 和 交换 式 两 种 情况 。 共 享 式 局 域 网 中 
如 果 将 某 一 台 主 机 的 网 卡 设置 成 混杂 模式 ， 那 么 ， 对 这 人 台 主 机 的 网 络 接口 而 言 ， 在 这 个 局 
域 网 内 传输 的 任何 信息 都 是 可 以 被 听 到 的 ， 主 机 的 这 种 状态 也 就 是 监听 模式 。 处 于 监听 模 
式 下 的 主机 可 以 嗅 探 到 同一 个 网 段 下 的 其 他 主机 发 送信 息 的 数据 包 。 网 卡 接收 到 数据 包 后 ， 
就 会 将 其 传 给 上 一 层 处 理 ， 如 果 在 这 一 阶段 使 用 嗅 探 软件 提供 一 定 的 捕获 和 过 滤 机 制 ， 就 
可 以 达到 监听 信息 的 目的 。 交 换 式 以 太 网 是 用 交换 机 或 其 他 非 广播 式 交换 设备 组 建成 的 局 
域 网 。 这 些 设 备 根据 收 到 的 数据 帧 中 的 MAC 地 址 决定 数据 帧 应 发 向 交换 机 的 哪个 端口 。 端 
口 间 的 帧 传输 彼此 屏蔽 ， 在 很 大 程度 上 解决 了 网 络 噢 探 的 困扰 ， 但 随 着 嗅 探 技术 的 发 展 ， 
交换 式 以 太 网 中 同时 存在 网 络 嗅 探 的 安全 隐患 。 黑 客 可 以 通过 溢出 攻击 和 ARP 欺骗 技术 迫 
使 交换 机 退回 到 广播 模式 实现 监听 。 这 就 是 和 交换 式 局 域 网 与 共享 式 局 域 网 的 监听 区 别 ， 
对 于 交换 式 局 域 网 ， 实 施 监 听 首 先 要 进行 溢出 攻击 或 ARP 欺骗 。 

(5) 会 话 劫持 结合 了 网 络 嗅 探 及 人 P 欺骗 技术 。 会 话 动 持 成 功 后 会 在 用 户 不 知情 下 接管 
一 个 现存 动态 会 话 过 程 ， 即 攻击 者 通过 会 话 劫持 可 以 替代 原来 的 合法 用 户 ， 同 时 能 够 监视 
并 掌握 会 话 内 容 。 攻 击 者 可 以 对 受害 者 的 回复 进行 记录 ， 并 在 接 下 来 的 时 间 里 对 其 进行 响 
应 ， 展 开 进一步 的 欺骗 和 攻击 。 会 话 劫持 结合 了 网 络 嗅 探 及 欺骗 技术 。 


32. 请 解释 以 下 5 种 “非法 访问 ”攻击 方式 的 含义 。 

(1) 口令 破解 。 

(2) IP 欺骗 。 

(3) DNS 欺骗 。 

(4) 重 放 (replay) 攻击 。 

(5) 特洛伊 木马 (trojan horse)。 

答 : (1) 口令 机 制 是 资源 访问 的 第 一 道 屏障 。 攻 破 这 道 屏障 ， 就 获得 了 进入 系统 的 第 
一 道 大 门 。 口 令 的 作用 是 向 系统 提供 唯一 标识 个 体 身份 的 机 制 ， 只 给 个 体 所 需 信息 的 访问 
权 ， 从 而 达到 保护 敏感 信息 和 个 人 隐私 的 作用 。 而 黑客 利用 口令 破解 达到 窃取 机 要 信息 的 
目的 。 常 用 口令 破解 方法 有 词典 破解 、 暴 力 破 解 或 穷 举 法 、 组 合 攻击 等 。 还 有 社会 工程 学 、 
偷 帘 、 搜 索 垃圾 箱 、 口 令 蠕 虫 、 特 洛 伊 木 马 、 网 络 监 听 、 重 放 等 其 他 方法 。 

(2) 欺骗 实质 上 就 是 一 种 冒充 身份 通过 认证 骗取 信任 的 攻击 方式 。 攻 击 者 针对 认证 机 
制 的 缺陷 ， 将 自己 伪装 成 可 信任 方 ， 从 而 与 受害 者 进行 交流 ， 最 终 抽 取信 息 或 是 展开 进 一 
步 攻 击 。 卫 欺骗 就 是 伪装 成 其 他 计算 机 的 他 地 址 骗取 连接 ， 获 得 信息 或 者 得 到 特权 ， 最 基 
本 的 中 欺骗 技术 有 三 种 简单 的 卫 地 址 变化 、 源 路 由 攻击 和 利用 UNIX 系统 的 信任 关系 。 

(3) DNS 的 全 称 是 Domain Name Server， 即 域名 服务 器 。DNS 的 功能 是 提供 主机 域名 
和 了 下地 址 之 间 的 转换 信息 。DNS 欺骗 就 是 利用 域名 与 人 P 地 址 转换 过 程 中 实现 的 欺骗 。 

(4) 重 放 攻 击 : 又 称 重 播 攻击 、 回 放 攻 击 ， 是 指 攻 击 者 发 送 一 个 目的 主机 已 接收 过 的 
包 ， 达 到 欺骗 系统 的 目的 ， 主 要 用 于 身份 认证 过 程 ， 破 坏 认证 的 正确 性 。 重 放 攻 击 可 以 由 
发 起 者 进行 ， 也 可 以 由 拦截 并 重 发 该 数据 的 敌 方 进行 。 攻 击 者 利用 网 络 监听 或 者 其 他 方式 
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盗 取 认证 凭据 ， 之 后 再 把 它 重 新 发 给 认证 服务 器 。 重 放 攻 击 在 任何 网 络 通信 过 程 中 都 可 能 
发 生 ， 是 计算 机 世界 黑客 常用 的 攻击 方式 之 一 。 

(5) 特洛伊 木马 : 特洛伊 木马 目前 一 般 可 理解 为 “为 进行 非法 目的 的 计算 机 病毒 ” 在 
计算 机 中 潜伏 ， 以 达到 黑客 目的 。 一 个 完整 的 特洛伊 木马 套装 程序 含 了 两 部 分 : 服务 端 〈 服 
务 器 部 分 ) 和 客户 端 (控制 器 部 分 )。 植 入 对 方 计算 机 的 是 服务 端 ， 而 黑客 正 是 利用 客户 端 
进入 运行 了 服务 端的 计算 机 。 运 行 了 木马 程序 的 服务 端 以 后 ， 会 产生 一 个 容易 迷惑 用 户 的 
名 称 的 进程 ， 暗 中 打开 端口 ， 向 指定 地 点 发 送 数 据 ( 如 网 络 游戏 的 密码 、 实 时 通信 软件 密 
码 和 用 户 上 网 密码 等 )， 黑 客 甚至 可 以 利用 这 些 打开 的 端口 进入 计算 机 系统 。 这 时 你 计算 机 
上 的 各 种 文件 、 程 序 ， 以 及 在 你 计算 机 上 使 用 的 账号 、 密 码 就 无 安全 可 言 了 。 


33. 分 析 路 由 欺骗 的 原理 ， 并 与 ARP 欺骗 和 DNS 欺骗 进行 比较 。 

答 : 路 由 欺骗 的 原理 如 下 : 源 路 由 机 制 通过 下 数据 包 报头 的 源 路 由 选项 字段 工作 ， 它 
允许 数据 包 的 发 送 者 在 这 一 选项 里 设 定 接收 方 返回 的 数据 包 要 经 过 的 路 由 表 ， 包 括 两 种 
类 型 ; 

(1) 宽松 的 源 站 选择 (LSR) 

发 送 端 指明 数据 包 必 须 经 过 的 瑟 地 址 清单 ， 但 如 果 需 要 ， 也 可 以 经 过 除 这 些 地 址 以 外 
的 其 他 地 址 。 

(2) 严格 的 源 站 选择 (SRS) 

发 送 端 指明 数据 包 必 须 经 过 的 确切 地 址 。 如 果 没 有 经 过 这 一 确切 路 径 ， 数 据 包 会 被 丢 
弃 ， 并 返回 一 个 ICMP 报 文 。 换 名 话说， 在 传送 过 程 中 ， 必 须 考 虑 数据 包 经 过 的 确切 路 径 ， 
如 果 由 于 某 种 原因 没有 经 过 这 条 路 径 ， 这 个 数据 包 就 不 能 被 发 送 。 

源 路 由 选项 字段 长 39B， 除 去 其 中 3B 的 附加 信息 ， 剩 下 的 36B 仅 对 应 9 个 人 P 地 址 空 
间 ， 由 于 最 后 一 个 地 址 必须 是 目的 地 址 ， 所 以 实际 上 只 能 填写 8 个 人 P 地 址 。 随 着 互联 网 的 
发 展 ， 路 由 经 过 的 下 地 址 数 通常 都 会 大 于 8 个 ， 在 这 种 情况 下 ， 使 用 宽松 的 源 站 选 路 比较 
妥当 ， 因 为 如 果 不 能 找到 确切 的 路 径 ， 严 格 的 源 路 由 选 路 就 会 丢弃 这 个 数据 包 。 

ARP 欺骗 原理 : 主机 在 实现 ARP 缓存 表 的 机 制 中 存在 一 个 不 完善 的 地 方 ， 那 就 是 主机 
收 到 一 个 ARP 应 答 包 后 , 它 并 不 会 去 验证 自己 是 否 发 送 过 对 应 的 ARP 请 求 , 也 不 会 验证 这 
个 ARP 应 答 包 是 否 可 信 ， 而 是 直接 用 应 答 包 里 的 MAC 地 址 与 人 P 地 址 的 对 应 关系 替换 掉 
ARP 缓存 表 中 原 有 的 相应 信息 。ARP 欺骗 攻击 的 实现 正 是 利用 了 这 一 点 。 

DNS 欺骗 : DNS 的 全 称 是 Domain Name Server， 即 域名 服务 器 ， 是 一 种 用 于 TCP/IP 
应 用 程序 的 分 布 式 数据 库 ， 它 提供 主机 域名 和 他 地 址 之 间 的 转换 信息 。 当 客户 主机 向 本 地 
DNS 服务 器 查询 域名 的 时 候 ， 如 果 服 务 器 的 缓存 中 已 经 有 相应 记录 ，DNS 服务 器 就 不 会 再 
向 其 他 服务 器 进行 查询 , 而 是 直接 将 这 条 记录 返回 给 用 户 ,攻击 者 正 是 利用 这 一 点 , 在 DNS 
服务 器 的 本 地 Cache 中 缓存 一 条 伪造 的 解析 记录 实现 DNS 欺骗 的 。 

这 样 看 来 ， 正 如 名 称 中 所 说 的 路 由 欺骗 ，ARP 欺骗 和 DNS 欺骗 是 分 别 利用 路 由 信息 ， 
ARP 缓存 中 MAC 地 址 和 了 P 地 址 的 对 应 关系 ， 以 及 DNS 中 主机 域名 和 人 P 地 址 的 对 应 关系 
的 自 改 达到 欺骗 的 目的 。 
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34. 卫 欺骗 有 哪些 方法 ? 
答 : 最 基本 的 他 欺骗 技术 有 三 种 : 简单 的 瑟 地 址 变化 、 源 路 由 攻击 、 利 用 UNIX 系统 
的 信任 关系 。 


35. 请 描述 局 域 网 间 通 信 时 一 次 完整 的 ARP 欺骗 过 程 。 

答 : 现在 假设 主机 A〈192.168.1.2) 要 与 主机 B (192.168.1.3) 通信 。A 首先 会 检查 自 
己 的 ARP 缓存 中 是 否 有 卫 地 址 192.168.1.3 对 应 的 MAC 地址 。 如 果 有 , 则 直接 使 用 对 应 的 
MAC 地 址 ， 如 果 没 有 ， 它 就 会 在 局 域 网 内 广播 ARP 请 求 包 ， 内 容 是 “192.168.1.3 的 MAC 
地 址 是 什么 ? 请 告诉 192.168.1.2”。 

局 域 网 内 的 所 有 主机 都 会 收 到 这 个 请 求 包 , 但 只 有 他 地 址 为 192.168.1.3 的 这 台 主 机 才 
会 响应 ， 它 会 回应 192.168.1.2 一 个 ARP 应 答 包 ， 内 容 是 “192.168.1.3 的 MAC 地 址 是 
03-03-03-03-03-03”。 

这 样 ， 主 机 A 就 得 到 了 主机 B 的 MAC 地 址 ， 并 且 它 会 把 这 个 对 应 的 关系 存在 自己 的 
ARP 缓存 表 中 。 之 后 ， 主 机 A 与 主机 B 之 间 的 通信 就 依靠 两 者 缓存 表 里 的 MAC 地 址 通信 
了 ， 直 到 通信 停止 后 两 分 钟 ， 这 个 对 应 关系 才 会 被 从 表 中 删除 。 

主机 在 实现 ARP 缓存 表 的 机 制 中 存在 一 个 不 完善 的 地 方 ， 那 就 是 主机 收 到 一 个 ARP 
应 答 包 后 , 它 并 不 会 去 验证 自己 是 否 发 送 过 对 应 的 ARP 请 求 , 也 不 会 验证 这 个 ARP 应 答 包 
是 否 可 信 ， 而 是 直接 用 应 答 包 里 的 MAC 地 址 与 人 P 地 址 的 对 应 关系 替换 掉 ARP 缓存 表 中 原 
有 的 相应 信息 。ARP 欺骗 攻击 的 实现 正 是 利用 了 这 一 点 。 

假设 攻击 者 是 主机 B (192.168.1.3)， 它 向 网 关 C 发 送 一 个 ARP 应 答 包 宣称 :“ 我 是 
192.168.1.2 (主机 A 的 也 地 址 )， 我 的 MAC 地 址 是 03-03-03-03-03-03 (攻击 者 的 MAC 地 
址 )。 同 时 ， 攻 击 者 向 主机 A 发 送 ARP 应 答 包 说 :“ 我 是 192.168.1.1 (网 关 C 的 了 他 地址 )， 
我 的 MAC 地 址 是 03-03-03-03-03-03 (攻击 者 的 MAC 地 址 )。” 

接 下 来 ， 由 于 A 的 缓存 表 中 C 的 他 地 址 已 与 攻击 者 的 MAC 地 址 建立 了 对 应 关系 ， 所 
以 A 发 给 C 的 数据 就 会 被 发 送 到 攻击 者 的 主机 B, 同 时 ,C 发 给 A 的 数据 也 会 被 发 送 到 B。 
攻击 者 B 就 成 了 A 与 C 之 间 的 “中 间 人 ”可 以 按 其 目的 随意 进行 破坏 了 。 

ARP 欺骗 的 一 般 过 程 如 图 1-2 所 示 。 

ARP 欺骗 攻击 在 局 域 网 内 非常 奏效 ， 它 可 以 导致 同 网 段 的 其 他 用 户 无 法 正常 上 网 ( 频 
繁 断 网 或 者 网 速 慢 ), 可 以 嗅 探 到 交换 式 局 域 网 内 的 所 有 数据 包 , 从 而 获取 敏感 信息 。 此 外 ， 
攻击 者 还 可 以 在 这 一 攻击 过 程 中 对 信息 进行 算 改 ， 修 改 重 要 的 信息 ， 进 而 控制 受害 者 的 
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36. 请 描述 一 次 完整 的 DNS 欺骗 过 程 。 

答 : DNS 的 全 称 是 Domain Name Server， 即 域名 服务 器 ， 是 一 种 用 于 TCP/IP 应 用 程序 
的 分 布 式 数据 库 ， 它 提供 主机 域名 和 卫 地 址 之 间 的 转换 信息 。 通 常 ， 网 络 用 户 通过 UDP 
和 DNS 服务 器 进行 通信 ， 而 服务 器 在 特定 的 53 端口 监听 ， 并 返回 用 户 所 需 的 相关 信息 ， 
这 是 “ 正 向 域名 解析 ”的 过 程 。“ 反 向 域名 解析 ”也 是 一 个 查询 DNS 的 过 程 ， 当 客户 向 一 
台 服 务 器 请 求 服务 时 ， 服 务 器 方 根据 客户 的 他 地址 反 向 解析 出 该 于 对 应 的 域名 。 


LR 


ARP 缓 存 表 
192.168.1.2 03-03-03-03-03-03 
192.168.1.3 03-03-03-03-03-03 


ARP 缓 存 表 
192.168.1.1 03-03-03-03-03-03 


192.168.1.3 03-03-03-03-03-03 


网 关 C : 192.168.1.1 
MAC : 01-01-01-01-01-01 


和 ARP 组 存 雪 
下 192.168.1.1 01-01-01-01-01-01 
N 192.168.1.2 02-02-02-02-02-02 


主机 A : 192.168.1.2 
MAC : 02-02-02-02-02-02 


主机 B : 192.168.1.3 
MAC : 03-03-03-03-03-03 ， 
攻击 者 


图 1-2 ARP 欺骗 的 一 般 过 程 


当 客户 主机 向 本 地 DNS 服务 器 查询 域名 的 时 候 ,如 果 服 务 器 的 缓存 中 已 经 有 相应 记录 ， 
DNS 服务 器 就 不 会 再 向 其 他 服务 器 进行 查询 ， 而 是 直接 将 这 条 记录 返回 给 用 户 。 攻 击 者 正 
是 利用 这 一 点 ,在 DNS 服务 器 的 本 地 Cache 中 缓存 一 条 伪造 的 解析 记录 实现 DNS 欺骗 的 。 

攻击 者 怎样 伪造 DNS 应 答 信息 就 成 了 问题 的 焦点 。 

一 种 可 能 是 ， 攻 击 者 控制 了 某 个 域名 服务 器 〈 如 nipc.com 域 )， 在 其 数据 库 中 增加 一 个 
附加 记录 ， 将 攻击 目标 的 域名 (如 www.dhs.com) 指向 攻击 者 的 欺骗 卫 。 用 户 向 该 域名 服 
务 器 发 送 对 攻击 目标 的 域名 解析 请 求 时 ， 将 得 到 攻击 者 的 欺骗 PP， 同 时 ， 域 名 服务 器 之 间 
的 通信 也 将 使 这 一 虚假 的 映射 记录 传播 到 其 他 域名 服务 器 上 ， 从 而 造成 更 多 的 用 户 受 到 

不 过 ， 在 现实 情况 中 ， 攻 击 者 往往 无 法 控制 DNS 服务器， 通常 可 以 做 到 的 是 控制 该 服 
务 器 所 在 网 络 的 某 台 主机 ， 并 可 以 监听 该 网 络 中 的 通信 情况 。 这 时 ， 攻 击 者 要 对 远程 的 某 
个 DNS 服务 器 进行 欺骗 攻击 ， 采 用 的 手段 很 像 人 P 欺骗 攻击 。 首 先 ,攻击 者 要 冒充 某 个 域名 
服务 器 的 他 地 址 ; 其次， 攻击 者 要 能 预测 目标 域名 服务 器 发 送 的 DNS 数据 包 的 ID 号 。 

DNS 数据 是 通过 UDP 传递 的 ， 在 DNS 服务 器 之 间 进 行 域名 解析 通信 时 ， 请 求 方 和 应 
答 方 都 使 用 UDP 53 端口 ， 而 这 样 的 通信 过 程 往往 是 并 行 的 。 也 就 是 说 ，DNS 域名 服务 器 
之 间 同 时 可 能 会 进行 多 个 解析 过 程 ， 既 然 不 同 的 过 程 使 用 的 是 相同 的 端口 号 ， 那 靠 什么 区 
别 它们 呢 ? 答案 在 DNS 报 文 里 面 。 

在 DNS 报 文 格式 头 部 的 ID 域 是 用 来 匹配 响应 和 请 求 数据 报 文 的 。 只 有 使 用 相同 的 ID 
号 ， 才 能 证 明 是 同一 个 会 话 〈 由 请 求 方 决定 所 使 用 的 ID )。 不 同 的 解析 会 话 采用 不 同 的 了 D 
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号 。 在 域名 解析 的 整个 过 程 中 ， 请 求 方 首先 以 特定 的 标识 (ID) 向 应 答 方 发 送 域名 查询 数 
据 包 ， 而 应 答 方 以 相同 的 ID 号 向 请 求 方 发 送 域名 响应 数据 包 ， 请 求 方 会 将 收 到 的 域名 响应 
数据 包 的 ID 和 自己 发 送 的 查询 数据 包 的 ID 相 比 较 ， 如 果 相 同 ， 则 表明 接收 到 的 正 是 自己 
等 待 的 数据 包 ， 如 果 不 相 同 ， 则 丢弃 。 

如 果 攻 击 者 伪造 的 DNS 应 答 包 中 含有 正确 的 ID 号 ， 并 且 抢 在 dhs.com 域 的 DNS 服务 
器 之 前 向 nipc.com 域 的 DNS 服务 器 返回 伪造 信息 ， 欺 骗 攻 击 就 将 获得 成 功 。 于 是 ， 确 定 目 
标 DNS 服务 器 的 ID 号 即 为 DNS 欺骗 攻击 的 关键 所 在 。 在 一 段 时 期 里 ， 多 数 DNS 服务 器 
都 采用 一 种 有 章 可 循 的 ID 生成 机 制 , 对 于 每 次 发 送 的 域名 解析 请 求 , DNS 服务 器 都 会 将 数 
据 包 中 的 有 D 加 1。 如 此 一 来 , 攻击 者 如 果 可 以 在 某 个 DNS 服务 器 的 网 络 中 进行 嗅 探 ,他 只 
要 向 远程 的 DNS 服务 器 发 送 一 个 对 本 地 某 域名 的 解析 请 求 ， 而 远程 DNS 服务 器 肯定 会 转 
而 请 求 本 地 的 DNS 服务 器 ， 于 是 攻击 者 可 以 留心 探测 目标 DNS 服务 器 向 本 地 DNS 服务 器 
发 送 的 请 求 数据 包 ， 就 可 以 得 到 想 要 的 ID 号 了 。 

即使 攻击 者 根本 无 法 监听 某 个 拥有 DNS 服务 器 的 网 络 ， 也 有 办 法 得 到 目标 DNS 服务 
器 的 ID 号 。 首 先 ， 他 向 目标 DNS 服务 器 请 求 对 某 个 不 存在 域名 地 址 (但 该 域 是 存在 的 ) 
进行 解析 。 然 后 ， 攻 击 者 冒充 所 请 求 域 的 DNS 服务 器 ， 向 目标 DNS 服务 器 连续 发 送 应 答 
包 ， 这 些 包 中 的 ID 号 依次 递增 。 过 一 段 时 间 ， 攻 击 者 再 次 向 目标 DNS 服务 器 发 送 针对 该 
域名 的 解析 请 求 ， 如 果 得 到 了 返回 结果 ， 就 说 明 目 标 DNS 服务 器 接受 了 刚才 攻击 者 的 伪造 
应 答 ， 继 而 说 明 攻击 者 猜测 的 ID 号 在 正确 的 区 段 上 ， 和 否则 ， 攻 击 者 可 以 再 次 尝试 。 


37. 简 述 电子 邮件 欺骗 可 能 造成 的 危害 。 

答 : 攻击 者 使 用 电子 邮件 欺骗 有 三 个 目的 

第 一 ， 隐 藏 自己 的 身份 。 

第 二 ， 如 果 攻 击 者 想 冒 充 别人 ， 他 能 假冒 那个 人 的 电子 邮件 。 

第 三 ， 电 子 邮 件 欺 骗 可 被 看 作 是 社会 工程 的 一 种 表现 形式 。 

它 造成 的 危害 有 : 由 于 冒充 欺骗 性 ， 会 使 得 接收 邮件 人 损失 金钱 和 信任 关系 ， 虚 假 
的 银行 提示 信息 是 最 常见 的 恶意 邮件 或 钓鱼 攻击 类 型 。 攻 击 者 精心 设计 钓鱼 邮件 内 容 ， 在 
其 中 添加 较 多 的 官方 资源 链接 和 虚假 组 织 的 服务 链接 。 通 过 在 邮件 中 添加 合法 连接 ， 骗 取 
用 户 的 信任 ， 同 时 也 能 成 功 通过 垃圾 邮件 过 滤器 的 筛选 。@@ 损 坏 邮箱 中 联系 人 的 资料 ， 池 
密 隐 私 。 入 侵 者 会 收集 所 有 邮件 中 的 用 户 资料 ， 更 严重 的 是 修改 邮箱 的 密码 ， 用 户 将 永远 
失去 这 个 邮箱 的 使 用 权 。 若 是 商业 用 户 邮箱 被 盗窃 ， 则 可 能 造成 更 大 的 经 济 损失 。@@ 恶 意 
电子 邮件 炸弹 ， 会 占 满 系统 资源 ， 用 户 无 法 接收 新 邮件 ， 甚 至 无 法 使 用 系统 。 


38. 试用 工具 生成 一 个 口令 字典 。 

答 : 可 以 采用 口令 生成 软件 GenerateDic 生成 一 个 口令 字典 ,或 称 为 一 个 单词 列表 文件 。 
这 些 单词 有 的 纯粹 来 自 于 普通 词典 中 的 英文 单词 ， 有 的 则 是 根据 用 户 的 各 种 信息 建立 起 来 
的 ， 如 用 户 名 字 、 生 日 、 街 道 名 字 、 喜 欢 的 动物 等 。 简 言 之 ， 词 典 是 根据 人 们 设置 自己 账 
号 口令 的 习惯 总 结 出 来 的 常用 口令 列表 文件 。 

我 们 可 以 生成 一 个 口令 字典 ， 如 图 1-3 所 示 。 


sw 327。 


十 


图 1-3 口令 字典 


39. 假定 允许 使 用 26 个 字母 和 10 个 数字 构造 口令 , 口令 长 度 为 6 个 字符 , 若 采 用 蛮 力 
攻击 ， 在 下 列 情况 下 各 需要 多 少时 间 ? 

(1) 检查 一 个 口令 需要 0.1s。 

(2) 检查 一 个 口令 需要 lhs。 

答 : 可 能 产生 口令 长 度 为 6 的 口令 总 数量 为 36X36X36X36X36X36=2.1767X10? 个 。 

(1) 如 果 检 查 一 个 口令 的 时 间 为 0.1s， 暴 力 攻 击 穷 举 搜索 最 长 结束 时 间 为 2.1767X 
108s， 相 当 于 362797lmin， 也 就 是 60466h， 等 于 2519 天 ， 相 当 于 6.9 年 。 

(2) 如 果 检 查 一 个 口令 需要 1ps 时 间 ， 也 就 是 前 面 单位 时 间 3627971min 的 10e(-5)， 
则 穷 举 搜索 完毕 需要 36.3min 。 


40. 口令 破解 有 哪些 方式 ? 口令 破解 器 通常 由 哪儿 部 分 组 成 ? 

答 : 主要 有 词典 破解 、 暴 力 破解 或 穷 举 法 、 组 合 攻击 等 方法 。 还 有 社会 工程 学 、 偷 宇 、 
搜索 垃圾 箱 、 口 令 蠕虫 、 特 洛 伊 木马 、 网 络 监听 、 重 放 等 方法 。 

口令 破解 器 由 候选 口令 产生 器 、 口 令 加 密 模 块 、 口 令 比较 模块 三 个 部 分 组 成 。 


41. 简 述 Windows 下 的 口令 攻击 方法 有 哪些 。 
答 : 攻击 方法 有 提取 SAM 文件 进行 破解 、 用 备份 的 SAM 文件 蔡 换 当前 SAM 文件 、 
使 用 口令 修改 软件 、 替 换 屏 保 程序 等 。 


42. 两 人 试 在 UNIX 系统 上 进行 一 次 口令 攻击 对 抗 。 

答 : 原理 分 析 : UNIX 系统 用 户 的 口令 本 来 是 经 过 加 密 后 保存 在 一 个 文本 文件 password 
中 的 ， 一 般 存放 在 /etc 目录 下 ， 后 来 由 于 安全 的 需要 ， 把 password 文件 中 与 用 户口 令 相关 
的 域 提取 出 来 ， 组 织 成 文件 shadow， 并 规定 只 有 超级 用 户 才 能 读 取 。 这 种 分 离 工作 也 称 为 
shadow 变换 。 因 此 ， 在 破解 口令 时 ， 需 要 做 UnShadow 变换 ， 将 /etc/password 与 /etc/shadow 
合并 起 来 ， 在 此 基础 上 才 开 始 进行 口令 的 破解 。 

现 有 口令 的 破解 程序 如 下 : 

(1) Crack。 

Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 标准 的 猜测 技 
术 确定 口令 。 它 检查 口令 是 否 为 如 下 情况 之 一 : 和 user id 相同 、 单 词 password、 数 字 串 、 
字母 串 。Crack 通过 加 密 一 长 串 可 能 的 口令 ， 并 把 结果 和 用 户 的 加 密 口 令 相 比较 ， 看 其 是 否 
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匹配 。 用 户 的 加 密 口 令 必 须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 
(2) John the Ripper。 


UNIX 口令 破解 程序 ， 但 也 能 在 Windows 平台 运行 ， 功 能 强大 、 运 行 速度 快 ， 可 进行 
字典 攻击 和 强行 攻击 。 
Cay LL. 


XIT 是 一 个 执行 词典 攻击 的 UNIX 口令 破解 程序 。XIT 的 功能 有 限 ， 因 为 它 只 能 运行 词 
典 攻击 ， 但 程序 很 小 、 运 行 很 快 。 

(4) Slurpie。 

Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 , 要 规定 所 需要 使 用 的 字符 数目 和 字符 类 型 ， 
如 可 以 用 Slurpie 发 起 一 次 攻击 , 使 用 7 字符 或 8 字符 、 仅 使 用 小 写字 母 口令 进行 强行 攻击 。 

和 John、Crack 相 比 ，Skurpie 最 大 的 优点 是 它 能 分 布 运行 ，Slurpie 能 把 几 台 计算 机 组 
成 一 台 分 布 式 虚拟 机 器 在 很 短 的 时 间 里 完成 破解 任务 。 


43. 举例 说 明 黑客 是 如 何 进 行 Web 欺骗 的 。 

答 : 黑客 将 用 户 要 浏览 的 网 页 重 定向 到 黑客 自己 的 服务 器 ， 当 用 户 浏览 目标 网 页 的 时 
候 ， 实 际 上 是 向 黑客 服务 器 发 出 请 求 ， 那 么 黑客 就 可 以 达到 欺骗 的 目的 。Web 欺骗 能 够 成 
功 的 关键 是 在 受害 者 和 真实 Web 服务 器 之 间 插 入 攻击 者 黑客 的 Web 服务 器 。 

例如 ，2005 年 1 月 ， 一 个 假冒 中 国 工商 银行 网 站 出 现在 互联 网 上 ， 真 实 的 中 国 工商 银 
行 网 址 为 :http://www.icbc.com.cn， 假 冒 工商 银行 网 址 为 http:/www.1lcbc.com.cn， 黑 客 诱骗 
银行 卡 持 有 人 的 账户 和 密码 , 并 导致 多 人 的 银行 存款 被 盗 ,直接 经 济 损失 达 80 万 元 人 民 币 。 


44. 尽 可 能 多 地 收集 Sniffer 产品 的 数据 ， 进 行 比较 分 析 ， 分 别 指出 它们 的 使 用 方法 和 
防范 措施 。 

答 : 常用 的 网 络 Sniffer〔 嗅 探 或 称 监听 ) 产品 有 TcpDump/WinDump、Ngrep、Ethereal 
/Wireshark、Sniffer Pro 和 NetXray 等 。 

TepDump 可 以 将 网 络 中 传送 的 数据 包 的“ 头 ” 完 全 截获 下 来 提供 分 析 。 它 支持 针对 网 
络 层 、 协 议 、 主 机 、 网 络 或 端口 的 过 滤 ， 并 提供 and、or、not 等 逻辑 语句 帮助 去 掉 无 用 的 
信息 。TcpDump 的 总 的 输出 格式 为 ， 系 统 时 间 ， 来 源 主机 、 端 口 ， 目 标 主机 、 端 口 ， 数 据 

Ngrep 是 grep〈 在 文本 中 搜索 字符 串 的 工具 ) 的 网 络 版 ， 它 力求 更 多 的 grep 特征 ， 用 
于 搜寻 指定 的 数据 包 。 正 由 于 安装 Ngrep 需 用 到 libpcap 库 ， 所 以 支持 大 量 的 操作 系统 和 网 
络 协议 。Ngrep 能 识别 TCP、UDP 和 ICMP 包 ， 理 解 BPF 的 过 滤 机 制 ， 可 用 来 分 析 、 定 位 
服务 中 的 问题 。 

Ethereal 是 当前 较 流 行 的 一 种 计算 机 网 络 调试 和 数据 包 嗅 探 软件 。Ethereal 基本 类 似 于 
TepDump, 但 Ethereal 还 具有 设计 完美 的 GUI 和 众多 分 类 信息 及 过 滤 选 项 .用 户 通过 Ethereal， 
同时 将 网 卡 插入 混合 模式 ， 可 以 查看 到 网 络 中 发 送 的 所 有 通信 流量 。Ethereal 应 用 于 故障 修 
复 、 分 析 、 软 件 和 协议 开发 及 教育 领域 。 它 具有 用 户 对 协议 分 析 器 所 期 望 的 所 有 标准 特征 ， 
并 具有 其 他 同类 产品 不 具备 的 有 关 特 征 。Ethereal 可 以 读 取 从 TepDump (libpcap)、 网 络 通 
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用 嗅 探 器 (被 压缩 和 未 被 压缩 )、Sniffer™ 专业 版 、NetXray™M、Sun Snoop 和 atmsnoop、 

Shomiti/Finisar 测试 员 、AIX 的 iptrace、Microsoft 的 网 络 监控 器 、Novell 的 LANalyzer、 
RadCom 的 WAN/LAN 分 析 器 、ISDN4BSD 项 目的 HP-UX nettl 和 i4btrace、Cisco 安全 
IDS iplog 和 pppd 日 志 (pppdump 格式 )、WildPacket 的 EtherPeek/TokenPeek/ AiroPeek 或 
者 可 视 网 络 的 可 视 UpTime 处 捕获 的 文件 。 此 外 ，Ethereal 也 能 从 Lucent/Ascend WAN 路 由 
器 和 Toshiba ISDN 路 由 器 中 读 取 跟踪 报告 ， 还 能 从 VMS 的 TCPIP 读 取 输出 文本 和 
DBS Etherwatch 。 

Sniffer Pro 是 一 款 便携 式 网 管 和 应 用 故障 诊断 分 析 软 件 ， 不 管 是 在 有 线 网 络 ， 还 是 在 无 
线 网 络 中 ， 它 都 能 够 给 予 网 络 管理 人 员 实时 的 网 络 监视 、 数 据 包 捕获 以 及 故障 诊断 分 析 能 
力 。 对 于 在 现场 进行 快速 的 网 络 和 应 用 问题 故障 诊断 ， 基 于 便携 式 软件 的 解决 方案 具备 最 
高 的 性 价 比 , 却 能 够 让 用 户 获 得 强大 的 网 管 和 应 用 故障 诊断 功能 。 与 NetXray 比较 ，Sniffer 
Pro 支持 的 协议 更 丰富 ， 例 如 ，PPPOE 协议 等 在 NetXray 并 不 支持 ， 在 SnifferPro 上 能 够 进 
行 快速 解码 分 析 。NetXray 不 能 在 Windows 2000 和 Windows XP 上 正常 运行 , Sniffer Pro 4.6 
可 以 运行 在 各 种 Windows 平 台 上 。Sniffer Pro 的 最 新 版 本 为 Sniffer Portable Professional 3.0， 
是 取代 Sniffer Pro 4.8/4.9 的 最 新 版 本 ， 它 提供 了 64 位 操作 系统 的 支持 、 无 线 网 络 解码 和 专 
家 分 析 系 统 (802.11a/b/lgn)、CDMA 2000、WCDMA 解码 和 专家 分 析 系统 以 及 大 量 的 细节 
化 协议 定制 的 更 新 。2009 年 ，NetScout 在 中 国 设立 了 专门 的 Sniffer 中 文官 方 网 站 。 

NetXray 是 由 CincoNetworks 公司 开发 的 一 个 用 于 高 级 分 组 检 错 的 软件 ， 功 能 很 强大 。 
卫 地 址 查询 工具 对 硬件 要 求 低 ， 可 运行 常用 的 Windows 平台 。 它 的 特点 是 : 四 监视 网 络 状 
态 ， 为 优化 网 络 性 能 提供 资料 : 长 时 间 的 捕获 ， 依 据 统计 数值 分 析 网 络 性 能 。@@ 网 络 中 包 
的 捕捉 和 解码 ， 用 于 故障 分 析 : 尽量 精确 地 设置 捕捉 规则 ， 利 于 精确 分 析 。@ 精 美的 图 形 
化 界面 、 灵 活 的 过 滤 策 略 和 辅助 功能 。@ 捕 获 并 分 析 数 据 包 ,发 送 数 据 包 ,网络 管 理 查 看 。 
@@ 协 议 分 析 软 件 。@ 运 行 于 数据 链 路 层 ， 对 数据 帧 进行 捕捉 和 分 析 ; 此 时 工作 网 卡 处 于 混 
杂 模 式 。 可 以 分 析 数 据 链 路 层 及 以 上 的 协议 和 特定 用 户 数据 。@ 不 能 处 理 物理 层 协 议 ， 
如 电信 号 的 串扰 、 衰 减 等 。 

因为 上 述 Sniffer 软件 可 能 被 黑客 或 犯罪 使 用 ， 为 了 安全 起 见 ， 在 非 网 络 管理 用 途 的 计 
算 机 上 不 应 该 运行 这 一 类 的 网 络 分 析 软 件 ， 为 了 屏蔽 它们 ， 可 以 屏蔽 内 核 中 的 bpfilter 伪 设 
备 。 一 般 情 况 下 ， 网 络 硬件 和 TCP/IP 堆栈 不 支持 接收 或 发 送 与 本 计算 机 无 关 的 数据 包 ， 为 
了 接收 这 些 数据 包 ， 就 必须 使 用 网 卡 的 混杂 模式 ， 并 绕 过 标准 的 TCP/IP 堆栈 才 行 。 在 
FreeBSD 下 ， 这 就 需要 内 核 支持 伪 设 备 bpfilter。 因 此 ， 在 内 核 中 取消 bpfilter 支持 ， 就 能 屏 
蔽 TcpDump 之 类 的 网 络 分 析 工 具 ， 并 且 当 网 卡 被 设置 为 混杂 模式 时 ， 系 统 会 在 控制 台 和 日 
志文 件 中 留 下 记录 ， 提 醒 管 理 员 留意 这 人 台 系 统 是 否 被 用 作 攻 击 同 网 络 的 其 他 计算 机 的 跳板 ， 
即 监测 网 卡 的 工作 模式 ， 防 御 监听 软件 的 侵入 。 

由 于 嗅 探 器 是 一 种 被 动 攻击 技术 ， 因 此 很 难 被 发 现 。 完 全 主动 的 解决 方案 很 难 找到 并 
且 因 网 络 类 型 而 有 一 些 差异 ， 但 可 以 先 采 用 一 些 被 动 但 却 通 用 的 防御 措施 。 这 主要 包括 采 
用 安全 的 网 络 拓扑 结构 和 数据 加 密 技 术 两 方面 。 此 外 ， 要 注意 重点 区 域 的 安全 防范 。 
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45. 嗅 探 软件 是 如 何 捕 提 到 数据 包 并 实现 数据 包 过 滤 功 能 的 ? 

答 : 在 共享 式 局 域 风 中， 集线器 会 广播 所 有 数据 ， 这 时 如 果 局 域 网 中 的 一 台 主 机 将 网 
卡 设置 成 混杂 模式 ， 那 么 它 就 可 以 接收 到 该 局 域 网 中 的 所 有 数据 了 。 

如 前 所 述 ， 共 享 式 以 太 网 的 传输 采取 广播 实现 的 方式 ， 即 一 个 局 域 网 中 的 所 有 网 络 接 
口 都 有 访问 在 物理 媒体 上 传输 的 所 有 数据 的 能 力 。 但 在 其 正常 工作 时 ， 只 能 接收 到 以 本 主 
机 为 目标 主机 的 数据 包 ， 其 他 数据 包 过 滤 后 被 丢弃 。 这 个 过 滤 机 制 可 以 作用 在 链 路 层 、 网 
络 层 和 传输 层 等 层次 。 链 路 层 的 过 滤 主 要 是 利用 网 卡 驱动 程序 判断 所 接收 到 的 包 的 目的 物 
理 地 址 (MAC 地 址 )。 系 统 正常 工作 时 ， 一 个 合法 的 网 络 接口 只 响应 目标 区 域 和 本 地 网 络 
接口 相 匹配 的 硬件 地 址 和 目标 区 域 具有 “广播 地 址 ”的 数据 帧 ， 它 将 这 些 数据 帧 上 交 给 网 
络 层 。 其 他 数据 帧 将 被 丢弃 ， 不 作 处 理 。 在 网 络 层 判断 目标 瑟 地 址 是 否 为 本 机 所 绑 定 的 他 
地 址 ， 如 果 是 ， 则 将 数据 包 交 给 传输 层 处 理 ; 如 果 不 是 ， 则 丢弃 。 在 传输 层 判断 对 应 的 目 
标 端口 是 否 在 本 机 已 经 打开 ， 如 果 已 经 打开 ， 则 根据 TCP/UDP 向 应 用 层 提交 其 内 容 ， 如 果 
没有 打开 ， 则 丢弃 。 因 而 ， 如 果 没 有 一 个 特定 的 机 制 ， 上 层 应 用 也 无 法 抓 到 本 不 属于 自己 
的 “数据 包 ”。 

如 果 要 让 用 户 的 嗅 探 软件 可 以 真正 “ 抓 ” 到 这 些 数据 包 ， 就 需要 一 个 直接 与 网 卡 驱动 
程序 接口 的 驱动 模块 作为 网 卡 驱 动 与 上 层 应 用 的 “中 间 人 ”， 它 将 网 卡 设置 成 混杂 模式 ， 并 
从 上 层 应 用 《〈 嗅 探 软件 ) 接收 下 达 的 各 种 抓 包 请 求 ， 对 来 自 网 卡 驱 动 程序 的 数据 帧 进行 过 
滤 ， 最 终 将 其 要 求 的 数据 返回 给 嗅 探 软件 。 

可 以 看 到 , 有 了 这 个 “中 间 人 ”, 链 路 层 的 网 卡 驱动 程序 上 传 的 数据 帧 就 有 了 两 个 去 处 : 
-个 是 正常 的 TCP/IP 协议 栈 ， 另 一 个 是 分 组 捕获 ， 即 过 滤 模 块 。 对 于 非 本 地 的 数据 包 ， 前 
者 会 丢弃 (通过 比较 目标 他 地址 )， 后 者 则 会 根据 上 层 应 用 的 要 求 决定 是 上 传 ， 还 是 丢弃 。 


链 路 层 两 种 不 同 的 分 组 处 理 模式 如 图 1-4 所 示 。 


分 组 捕获 过 滤 


网 卡 设备 驱动 


物理 传输 介质 


图 1-4 链 路 层 两 种 不 同 的 分 组 处 理 模式 


许多 操作 系统 都 提供 了 这 样 的 “中 间 人 ”机 制 ， 即 分 组 捕获 过 滤 机 制 。 在 UNIX 类 型 
的 操作 系统 中 ,主要 有 3 种 : BSD 系统 中 的 BPF (Berkeley Packet Filter)、SVR4 中 的 DLPI 
(Date Link Provider Interface) 和 Linux 中 的 SOCK PACKET 类 型 套 接 字 。 目 前 ， 大 部 分 嗅 
探 软 件 都 是 基于 上 述 机 制 建立 起 来 的 ， 利 用 中 间 人 机 制 捕捉 到 数据 包 并 实现 数据 包 过 滤 
功能 。 
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46. 介绍 一 种 扫描 工具 的 用 法 ， 记 录 扫 描 结果 并 对 扫描 结果 进行 分 析 。 

答 : Nmap (Network Mapper) 是 由 Fyodor 制作 的 端口 扫描 工具 。 

它 除了 提供 基本 的 TCP 和 UDP 端口 扫描 功能 外 , 还 综合 集成 了 众多 扫描 技术 。 可 以 说 ， 
现在 的 端口 扫描 技术 很 大 程度 上 是 根据 Nmap 的 功能 设置 划分 的 。 

Nmap 还 有 一 个 卓越 的 功能 , 那 就 是 采用 一 种 叫 作 “TCP 栈 指纹 鉴别 (stack fingerprinting)” 
的 技术 探测 目标 主机 的 操作 系统 类 型 。 

使 用 -sT 选项 指定 进行 TCP connect 端口 扫描 (全 扫描 )， 如 果 不 指定 端口 号 ,默认 情况 
下 Nmap 会 扫描 1-1024 和 nmap-services 文件 (在 Nmap 下 载 包 中 ) 中 列 出 的 服务 端口 号 。 
图 1-5 是 利用 -sT 对 192.168.0.1 Rt TCP connect 扫描 的 情况 ， 扫 描 端口 为 TCP21-25、 
80 以 及 139 端口 ， 最 终结 果 显 示 ， 、25、80 和 139 端口 是 开放 的 。 


"B192.168.2.123 - SecureCRT lolxl 
Ele 上 Yew Options Transfer Script Wndow Hep 


泣 居 习 阅 | 时 明 Qj 吕 号 沪 | 杀 沙 8 司 


[rootBlangl root]# nmap -sT 192.168.2.117 -p 21-25-80.139 


Starting nmap V. 3.00 ( insecure,org/nnap/ 》 
Interesting ports on (2 168,2,117): 
but ai 区 below are in state: closed) 
Serv. 
Ff 
smtp 


http 
netbios-ssn 


Hnap run conpleted 一 1 IP address (1 host up) scanned in 1 second 本 
[rootBlangl root]4 zl 


Ready sshi:30E5 [1,20 [13Rows, 68Coks MiI0 | RUM 
图 1-5 扫描 结果 显示 


47. 请 解释 全 扫描 和 半 扫 描 的 不 同 。 

答 : 全 扫描 是 攻击 者 进行 端口 扫描 最 常用 的 方法 ， 就 是 尝试 与 远程 主机 的 端口 建立 一 
次 完整 正常 的 TCP 连接 。 如 连接 成 功 , 则 表示 端口 开放 。 这 种 扫描 方式 也 称 为 “TCP connect 
扫描 ”。 

半 扫 描 是 指 当 客户 端 发 出 一 个 SYN 连接 请 求 报 文 后 ， 如 果 收 到 了 远程 目标 主机 的 
ACK/SYN 确认 , 就 说 明 远程 主机 的 该 端口 是 打开 的 ; 若 没 有 收 到 远程 目标 主机 的 ACK/SYN 
确认 ， 收 到 的 是 RST 数据 报 文 ， 就 说 明 远 程 主机 的 该 端口 没有 打开 。 这 样 ， 对 于 扫描 要 获 
得 的 信息 已 经 足够 了 ， 由 于 SYN 扫描 时 ， 全 连接 尚未 完整 建立 ， 所 以 这 种 技术 通常 也 被 称 
为 “ 半 连 接 或 半 开 放 ” 扫 描 。 全 扫描 与 半 扫 描 的 不 同 在 于 ， 前 者 建立 了 TCP/IP 三 次 握手 全 
连接 过 程 ， 后 者 只 建立 了 二 次 握手 半 连 接 过 程 。 全 扫描 这 种 扫描 方法 很 容易 被 检测 出 来 ， 
在 日 志文 件 中 会 有 大 量 密集 的 连接 和 错误 记录 ， 并 容易 被 防火 墙 发 现 和 屏蔽 ， 而 半 扫 描 即 
使 日 志 中 对 于 扫描 i 有 所 记录 ， 但 是 尝试 进行 连接 的 记录 也 要 比 全 扫描 的 记录 少 得 多 。 


48. 秘密 扫描 是 如 何 实现 的 ? 

答 : 秘密 扫描 是 指 TCP FIN 扫描 ， 通 常 作用 于 UNIX 系统 。 扫 描 主机 向 目标 主机 发 送 
FIN 数据 包 探听 端口 ， 若 FIN 数据 包 到 达 的 是 一 个 打开 的 端口 ， 数 据 包 则 被 简单 地 丢掉 ， 
并 不 返回 任何 信息 ， 当 FIN 数据 包 到 达 一 个 关闭 的 端口 ，TCP 会 把 它 判断 成 是 错误 ， 数 据 
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包 会 被 丢掉 ， 并 且 会 返回 一 个 RST 数据 包 ， 因 为 此 扫描 能 躲避 IDS、 防 火 墙 、 包 过 滤器 和 
志 审 计 ， 从 而 获取 目标 端口 的 开放 或 关闭 的 信息 ， 因 此 称 为 秘密 扫描 。 


49. 主动 协议 栈 指纹 识别 OS (操作 系统 ) 有 哪些 方法 ? 
答 : 主动 协议 栈 指纹 识别 OS 的 方法 有 FIN 探测 ，ISN 采样 探测 ，Don't Rss 位 探 
中 ，TCP 初始 窗口 的 大 小 检测 ，ACK 值 探测 ，ICMP 出 错 消息 抑制 ，ICMP 出 错 消息 回 射 完 
整 性 ，TOS 服务 类 型 和 片段 处 理 等 。 


50. 常用 的 扫描 工具 有 哪些 ? 

答 : 常用 的 扫描 工具 有 : 

(1) SATAN (古老 经 典 )。 

(2) Nessus( 最 好 的 开放 源 代码 风险 评估 工具 )。 
(3) Nikto (一 款 非常 全 面 的 Web 扫描 器 )。 

(4) NMAP (扫描 之 王 )。 

(5) SAINT (安全 管理 员 的 综合 网 络 工具 )。 

(6) SARA (安全 管理 员 的 辅助 工具 )。 

(7) SuperScan (Windows 平台 上 的 TCP 端口 扫描 器 )。 
(8) Mysfind (漏洞 扫描 )。 

(9) X-Scan〔 漏 洞 扫 描 )。 

(10) 流光 (中国 软件 ) 等 。 


51. 如 何 对 扫描 进行 防御 ? 

答 : 防御 扫描 可 以 从 以 下 八 个 方面 入 手 。 

(1) 减少 开放 端口 ， 做 好 系统 防护 。 

(2) 实时 监测 扫描 ， 及 时 做 出 告警 。 

(3) 伪装 知名 端口 ， 进 行 信息 欺骗 。 

(4) 采用 端口 扫描 监测 软件 ， 如 Protectx、Winetd、DTK 密 钢 工具 和 PortSentry 等 。 
(5) 采用 个 人 防火 墙 技术 。 

(6) 采用 针对 Web 服务 的 日 志 审计 技术 等 。 

(7) 修改 Banner 信息 。 

(8) 及 时 更 新 安全 补丁 程序 等 方法 。 


52. 什么 是 缓冲 区 ? 什么 是 缓冲 区 溢出 ? 

答 : 缓冲 区 是 包含 相同 数据 类 型 实例 的 一 个 连续 的 计算 机 内 存 块 ， 是 程序 运行 期 间 在 
内 存 中 分 配 的 一 个 连续 的 区 域 ， 用 于 保存 包括 字符 数组 在 内 的 各 种 数据 类 型 。 所 谓 缓冲 区 
溢出 ， 就 是 所 填充 的 数据 超出 了 原 有 的 缓冲 区 边界 。 


53. 下 载 一 个 进行 缓冲 区 溢出 攻击 的 程序 ， 并 进行 分 析 。 


LE 人 


* File heapl.c * / 

include < stdio.h > 

include < stdlib.h > 

include < unistd.h > 

include < string.h > 

define BUFFER-SIZE 16 

define OVERLAYSIZE 8 /* 材 盖 buf2 的 前 OVERLAYSIZE 字 节 */ 
int main() 

{ 

u-long diff ; 

char * bufl = (char * )malloc (BUFFER-SIZE) ; 

char * buf2 = (char * )malloc (BUFFER-SIZE) ; 

diff = (u-long) buf2 - (u-long) bufl ; 

Printf ("bufl = sp ，buf2 = sp ，diff = 0x %x ( %d) bytes \n"，bufl ，buf2 , diff , diff) ; 
/* 将 buf2 用 'a' 填 充 */ 

memset (buf2 , 'a', BUFFER-SIZE - 1) , buf2[BUFFER-SIZE - 1 ] = '\0'; 
printf ("before overflow: buf2 = %s \n", buf2) ; 

/* 用 diff + OVERLAYSIZE 个 'b' 填 充 bufl */ 

memset (bufl , 'b', (u-int) (diff + OVERLAYSIZE) ) ; 
printf ("after overflow: buf2 = %s \n", buf2) »; 

Feturn 0; 


} 

上 述 程序 的 运行 结果 存在 缓冲 区 堆 溢 出 。 

可 以 看 到 ，buf 的 前 8B 被 覆盖 了 ， 这 是 因为 往 bufl 中 填写 的 数据 超出 了 它 的 边界 ， 
进入 了 buf 的 范围 。 由 于 buf2 的 数据 仍然 在 有 效 的 Heap 区 内 ， 所 以 程序 仍然 可 以 正常 
结束 。 

我 们 注意 到 ， 虽 然 bufl 和 buf2 是 相继 分 配 的 ， 但 它们 并 不 是 紧 挨 着 的 ， 而 是 有 8B 间 
距 。 这 是 因为 ， 使 用 malloc() 动 态 分 配 内 存 时 ， 系 统 向 用 户 返 回 一 个 内 存 地 址 ， 实 际 上 在 这 
个 地 址 前 面 通常 还 有 8B 的 内 部 结构 ， 用 来 记录 分 配 的 块 长 度 、 上 一 个 堆 的 字 节 数 以 及 一 些 
标志 等 。 这 个 间距 可 能 随 系统 环境 的 不 同 而 不 同 。bufl 溢出 后 ，buf2 的 前 8B 也 被 改写 为 
bbbbbbbb，buf2 内 部 的 部 分 内 容 也 被 修改 为 b。 程 序 运行 结果 如 图 1-6 所 示 。 


buf1l 间距 buf2 


在 非 非 非 非 改 


履 盖 前 : [xxxxxxxxxxxxxxxx] [xxxxxxxx] [aaaaaaaaaaaaaaa] 


覆盖 后 : [bbbbbbbbbbbbbbbb] [bbbbbbbb] [bbbbbbbbaaaaaaa] 
图 1-6 程序 运行 结果 
54. 试 举 几 个 利用 缓冲 区 溢出 进行 攻击 的 病毒 名 。 简 述 缓冲 区 溢出 攻击 的 过 程 。 
答 : 2004 年 5 月 爆发 的 “震荡 波 ” 蠕 虫 病毒 ， 利 用 了 Windows 系统 的 活动 目录 服务 组 
冲 区 溢出 漏洞 。 
2005 年 8 月 ， 利 用 Windows 即 插 即 用 缓冲 区 溢出 漏洞 的 “狙击 波 ” 蠕 虫 病毒 ， 被 称 为 
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历史 上 最 快 利 用 微软 漏洞 进行 攻击 的 恶意 代码 。 

2008 年 底 至 2009 年 的 Conficker 蠕虫 病毒 利用 的 是 Windows 处 理 远程 RPC 请 求 时 的 
漏洞 (MS08-067)。 

攻击 者 要 实现 缓冲 区 溢出 攻击 ， 必 须 完成 两 个 任务 : 一 是 在 程序 的 地 址 空间 里 安排 适 
当 的 代码 ; 二 是 通过 适当 的 初始 化 寄存 器 和 存储 器 , 让 程序 跳 转 到 安排 好 的 地 址 空间 执行 。 
因此 ， 对 于 攻击 者 来 说 ， 需 要 构造 执行 的 代码 Shellcode， 并 将 其 放 到 目标 系统 的 内 存 ， 然 
后 获得 缓冲 区 的 大 小 和 定位 溢出 点 ret 的 位 置 ， 最 后 控制 程序 跳 转 ， 改 变 程序 流程 。 


55. 简 述 缓冲 区 溢出 攻击 的 防御 方法 。 

答 :(1) 源码 级 保护 方法 ， 包 括 避 免 源码 中 的 相关 bug、 源 码 中 溢出 bug 的 查找 和 数组 
边界 检查 编译 器 。 

(2) 运行 期 保护 方法 ， 包 括 插入 目标 代码 进行 数组 边界 检查 、 返 回 指针 的 完整 性 检查 。 

(3) 阻止 攻击 代码 执行 ， 具 体 采 用 非 执行 缓冲 区 技术 ， 通 过 设置 缓冲 区 地 址 空间 的 属 
性 为 不 可 执行 ， 使 得 攻击 代码 不 能 执行 ， 从 而 避免 攻击 ， 这 种 技术 被 称 为 非 执 行 的 缓冲 区 
技术 。 

(4) 加 强 系 统 保护 ， 具 体 有 保护 系统 信息 、 关 闭 不 需要 的 服务 、 最 小 权限 原则 、 使 用 
系统 的 堆栈 补丁 、 检 查 系 统 漏洞 、 及 时 为 软件 打上 安全 补丁 。 


56. 阅读 下 面 的 程序 ， 指 出 其 功能 。 


其 nclude <stdioh> 

int main(int argc,char *argy[]) 

上 
unsigned char 。 carnaryl5]) 
unsigned char foo[4]; 
memset(foo, \x00,,sizeof(foo)); 


Strcpy(camary XXX 


fprintf (stderr“%1l6u56n%16u%n%32%n5664u%nNn 
(int *) &foolol llint*) &foofll1 ,lint*) gfool2]1 (int*) &foo[3]); 
printf (“foo | carmary: %02x%02x%02x%02x | %02x3%6D2x%602x5%602xNm 
foo[0],foo[1],foo[2],foo[3], 


camary[0], camary[1], camary[2], camary[3) ; 


} 


答 : 运行 结果 存在 格式 化 串 溢出 。 
格式 化 串 溢出 源 自 *printf() 类 函数 的 参数 格式 问题 (如 printf、fprintf、sprintf 等 )， 以 最 
简单 的 printf0 函 数 为 例 : 


int printf (const char *format, argl, arg2, *); 


它们 将 根据 format 的 内 容 (%s，%d，%p，%x，%n，…) 将 数据 格式 化 后 输出 。 其 问题 在 


WW 


于 ，*printf0) 函 数 并 不 能 确定 数据 参数 arg1，arg2，… 究 竟 在 什么 地 方 结束 ， 即 函数 本 身 不 
知道 参数 的 个 数 ， 而 只 会 根据 format 中 打印 格式 的 数目 依次 打印 堆栈 中 参数 format 后 面 地 
址 的 内 容 。 

在 format 串 中 ， 主 要 利用 %n 实现 攻击 ，%n 在 格式 化 串 中 的 意思 是 将 显示 内 容 的 长 度 
输出 到 一 个 变量 中 。 

段 错误 的 原因 是 printf0 将 堆栈 中 main() 函 数 的 变量 num 当 作 %n 对 应 的 参数 ， 因 此 会 
将 0x14 保存 到 地 址 0x61616161 中 ， 而 0x61616161 是 不 能 访问 的 地 址 ， 因 此 系统 提示 发 生 
段 错误 。 如 果 可 以 控制 num 的 内 容 ， 就 意味 着 可 以 修改 任意 地 址 (当然 ， 是 允许 写 入 的 地 
址 ) 的 内 容 。 

从 以 上 可 以 看 出 ， 缓 冲 区 溢出 的 真正 原因 在 于 程序 缺少 边界 检查 。 这 一 方面 是 源 于 编 
程 语言 和 库 函 数 本 身 的 弱点 ， 如 C 语言 中 对 数组 和 指针 的 引用 不 自动 进行 边界 检查 ， 一 些 
字符 串 处 理 函 数 〈 如 strcpy、sprintf 等 ) 存在 着 严重 的 安全 问题 。 另 一 方面 是 程序 员 进 行程 
序 编写 时 ， 由 于 经 验 不 足 或 粗心 大 意 ， 没 有 进行 或 忽略 了 边界 检查 ， 使 得 缓冲 区 溢出 漏洞 
几乎 无 处 不 在 ， 为 缓冲 区 溢出 攻击 留 下 了 隐患 。 


. 在 实验 室 中 模拟 一 次 SYN Flood 攻击 的 实际 过 程 。 
略 。 
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58. 什么 是 拒绝 服务 攻击 ? 

答 : 拒绝 服务 攻击 通常 是 利用 传输 协议 的 漏洞 、 系 统 存在 的 漏洞 、 服 务 的 漏洞 ， 对 目 
标 系统 发 起 大 规模 的 进攻 ， 用 超出 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 资源 、 带 宽 资 
源 等 ， 或 造成 程序 缓冲 区 溢出 错误 ， 致 使 其 无 法 处 理 合法 用 户 的 正常 请 求 ， 无 法 提供 正常 
服务 ， 最 终 致使 网 络 服务 瘫痪 ， 甚 至 引起 系统 死机 。 


59. 简要 回答 拒绝 服务 攻击 有 哪些 常用 技术 ? 各 种 技术 的 特点 分 别 是 什么 ? 

答 : (1) Ping of Death: 该 攻击 数据 包 大 于 65535B。 由 于 部 分 操作 系统 接收 到 长 度 大 
于 65535B 的 数据 包 时 ， 会 造成 内 存 溢出 、 系 统 崩 溃 、 重 启 、 内 核 失败 等 后 果 ， 从 而 达到 攻 
击 的 目的 。 

(2) 泪 滴 (Teardrop):“ 泪 滴 ” 也 称 为 分 片 攻 击 ， 它 是 一 种 典型 的 利用 TCP/IP 的 漏洞 
进行 拒绝 服务 攻击 的 方式 。 两 台 计 算 机 在 使 用 下 通信 时 ， 如 果 传输 的 数据 量 较 大 ， 无 法 在 
一 个 数据 报 文中 传输 完成 ， 就 会 将 数据 拆 分 成 多 个 分 片 ， 在 传送 到 目标 计算 机 后 再 到 堆栈 
中 进行 重组 ， 这 一 过 程 称 为 分 片 〈fragmentation)。 卫 分 片 发 生 在 要 传输 的 他 报 文大 小 超过 
最 大 传输 单位 (Maximum Transmission Unit，MTU) 的 情况 。 

在 互联 网 中 ， 各 卫 分 片 报 文 被 分 别传 输 ， 通 过 的 线路 不 一 定 相 同 ， 到 达 目 标 主机 的 顺 
序 也 不 一 致 ， 为 了 能 在 到 达 目 标 主机 后 顺利 进行 数据 重组 ， 各 分 片 报 文具 有 如 下 信息 。 

卫 分 片 识 别 号 (IP identification number，fragment ID) 分 片 在 原始 报 文中 的 偏 移 量 、 分 
片 数 据 长 度 、 分 片 标志 位 〈More Fragment，ME)， 当 其 后 还 存在 后 续 分 片 报 文 时 ， 将 该 分 
片 ME 标志 位 置 为 1。 如 果 攻 击 者 伪造 数据 报 文 向 服务 器 发 送 含 有 重 又 偏 移 信 息 的 分 片 包 ， 
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当 这 些 合 有 重 县 偏 移 信 息 的 分 片 报 文 被 发 送 到 目标 主机 后 ， 目 标 主机 在 堆栈 中 重组 原始 数 
据 包 时 会 出 错 ， 这 个 错误 不 仅 会 影响 重组 的 数据 ,还 会 导致 内 存 错误 ,引起 协议 栈 的 崩溃 。 

(3) 卫 欺骗 :这 种 攻击 利用 他 头 的 RST 位 实现 。 假 设 现在 有 一 个 合法 用 户 (61.61.61. 
61) 已 经 同 服务 器 建立 了 正常 的 连接 ,攻击 者 构造 TCP 数据 包 ,伪装 自己 的 下 为 61.61.61.61， 
并 向 服务 器 发 送 一 个 带 有 RST 位 的 TCP 数据 包 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 
61.61.61.61 发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ， 如 果 合 法 用 户 
61.61.61.61 再 发 送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建 
立 连接 。 攻 击 者 利用 这 一 点 ， 构 造 大 量 的 源 地 址 为 其 他 用 户 人 P 地 址 、RST 位 置 1 的 数据 包 
发 送 给 目标 服务 器 , 使 服务 器 不 对 合法 用 户 服 务 , 从 而 实现 对 受害 服务 器 的 拒绝 服务 攻击 。 

(4) UDP 洪水 : 利用 主机 能 自动 进行 回复 的 服务 〈 例 如， 使 用 UDP 的 chargen 服务 和 
echo 服务 ) 进行 攻击 。 

(5) SYN 洪水 : 这 是 一 种 利用 TCP 缺陷 发 送 大 量 伪造 的 TCP 连接 请 求 ， 使 被 攻击 方 
资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 的 攻击 方式 。 

(6) Land 攻击 : 构造 一 个 特殊 的 SYN 包 ， 其 源 地 址 和 目标 地 址 相同 。 

(7) Smurf 攻击 : 当 某 台 机 器 使 用 广播 地 址 发 送 一 个 ICMP echo 请 求 包 时 (如 Ping)， 

它 就 会 收 到 六 个 ICMP echo 回应 包 (CN 为 网 络 中 计算 机 的 总 数 )。 当 六 的 数目 达到 一 定 大 小 
时 ， 产 生 的 应 答 流 量 将 会 占用 大 量 的 带宽 ， 消 耗 大 量 的 网 络 资源 。Smurf 攻击 就 是 使 用 这 个 
原理 进行 的 。 Smurf 攻击 在 构造 数据 包 时 将 源 地 址 设置 为 被 攻击 主机 的 地 址 ， 而 将 目标 地 址 
设置 为 广播 地 址 ， 于 是 ， 大 量 的 ICMP echo 回应 包 被 发 送 给 被 攻击 主机 ， 使 其 因 网 络 阻塞 
而 无 法 提供 服务 。 

(8) Fraggle 攻击 : Fraggle 攻击 原理 与 Smurf 一 样 ， 也 是 采用 向 广播 地 址 发 送 数据 包 ， 
利用 广播 地 址 的 特性 将 攻击 放大 , 以 使 目标 主机 拒绝 服务 。 不 同 的 是 , Fraggle 使 用 的 是 UDP 
应 答 消 息 ， 而 非 ICMP 数据 包 。 

(9) 电子 邮件 炸弹 : 电子 邮件 炸弹 是 最 古老 的 匿名 攻击 之 一 ， 简 言 之 ， 就 是 攻击 者 不 
停 地 向 用 户 的 邮箱 发 送 大量 的 邮件 ， 目 的 是 用 垃圾 邮件 填 满 你 的 邮箱 ， 使 正常 的 邮件 因 邮 
箱 空间 不 够 而 被 拒 收 。 这 也 将 不 断 知 哈 邮 件 服务 器 上 的 硬盘 空间 ， 最 终 耗 尽 ， 无 法 再 对 外 
服务 。 

(10) 畸形 消息 攻击 : 畸形 消息 攻击 是 一 种 有 针对 性 的 攻击 方式 ， 它 利用 目标 主机 或 者 
特定 服务 在 处 理 接收 到 的 信息 之 前 没有 进行 适当 的 信息 错误 检验 ， 故 意 发 送 一 些 畸 形 消息 ， 
使 目标 主机 出 现 处 理 异 常 或 骨 溃 。 

(11) Slashdot effect: 由 于 Slashdot.org 的 知名 度 和 浏览 人 数 的 影响 ， 在 Slashdot.org 上 
的 文章 中 放 入 的 网 站 链接 有 可 能 一 瞬间 被 点 入 上 千 次 ， 甚 至 上 万 次 ， 造 成 这 个 被 链接 的 网 
站 承受 不 住 突然 增加 的 连接 请 求 , 出 现 响 应 变 慢 、 崩 溃 、 拒绝 服务 。 这 种 现象 就 称 为 Slashdot 
effect， 这 种 瞬间 产生 的 大 量 进 入 某 网 站 的 动作 ， 也 称 Slashdotting。 

(12) WinNuke 攻击 : WinNuke 攻击 又 称 “ 带 外 传输 攻击 ” 它 的 特征 是 攻击 目标 端口 ， 
被 攻击 的 目标 端口 通常 是 139、138、137、113、53。TCP (传输 控制 协议 ) 中 使 用 带 外 数 
据 (OOB 数据 ) 通道 传送 一 些 比较 特殊 (如 比较 紧急 ) 的 数据 ， 当 发 送 方 使 用 这 一 方式 时 ， 
发 送 方 TCP 进入 紧急 模式 。WinNuke 攻击 就 是 制造 特殊 的 这 种 报 文 ， 它 们 与 正常 带 外 数据 
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报 文 不 同 的 是 , 它们 的 URG 指针 字段 与 数据 的 实际 位 置 不 符 , 即 存在 重合 , 这 样 ，Windows 
操作 系统 在 处 理 这 些 数据 的 时 候 就 会 出 现 错误 ， 造 成 系统 崩溃 。 


60. 如 何 防御 拒绝 服务 攻击 对 系统 的 危害 ? 
答 : (1) 优化 网 络 和 路 由 结构 。 
(2) 保护 主机 系统 安全 。 
(3) 安装 入 侵 检测 系统 。 
(4) 与 因特网 服务 供应 商 〈ISP) 合作 。 
(5) 使 用 扫描 工具 。 


61. 在 DDoS 攻击 中 , 为 什么 黑客 不 直接 控制 攻击 倪 价 机 ， 而 要 通过 控制 盆 伟 机 发 动 进 
攻 呢 ? 

答 : 倪 偶 机 是 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service attack，DDoS ) 中 的 概 
念 ， 攻 击 者 通过 控制 分 布 在 网 络 各 处 的 数 百 甚至 数 千 台 倪 偶 主机 《又 称 为 肉鸡 )， 发 动 它们 
同时 向 攻击 目标 进行 拒绝 服务 攻击 。 

僵尸 网 络 可 以 用 作 倪 儒 机 平台 ， 就 是 攻击 者 手中 的 一 个 攻击 平台 ， 由 互联 网 上 数 百 到 
数 十 万 计算 机 构成 ， 这 些 计 算 机 被 黑客 利用 蠕虫 等 手段 植 入 了 僵尸 程序 并 暗中 操控 。 利 用 
这 样 的 攻击 平台 ， 攻 击 者 可 以 实施 DDoS 攻击 ， 并 且 反 过 来 创建 新 的 僵尸 网 络 ， 进 一 步 扩 
大 其 控制 范围 ， 威 力 之 大 ， 远 非 DoS 攻击 手段 可 比 。 

DDoS 攻击 通常 借助 客户 /服务 器 技术 。 在 进行 DDoS 攻击 前 ， 攻 击 者 必须 先 用 其 他 手 
段 获取 大 量 倪 偶 主机 的 系统 控制 权 ， 用 于 安装 进行 拒绝 服务 攻击 的 软件 。 这 些 倪 价 主机 最 
好 具有 良好 的 性 能 和 充足 的 资源 ， 如 强 的 计算 能 力 和 大 的 带宽 等 。 

用 于 DDoS 攻击 的 软件 一 般 分 为 守护 端 〈 安 装 守护 端的 主机 称 为 代理 ) 与 服务 端 〈 安 
装 服务 端的 主机 称 为 主 控 )。 这 些 程序 可 以 协调 使 分 散在 互联 网 各 处 的 机 器 共同 完成 对 一 台 
主机 的 攻击 操作 。 

当 需 要 攻击 时 , 攻击 者 连接 到 安装 了 服务 端 软 件 的 主 控 , 向 服务 端 软 件 发 出 攻击 指令 ， 
主 控 在 接收 到 攻击 指令 后 ， 控 制 多 个 代理 同时 向 目标 主机 发 动 猛烈 攻击 。 通 常 ， 主 控 与 代 
理 之 间 并 不 是 一 一 对 应 的 关系 ， 而 是 多 对 多 的 关系 。 也 就 是 说 ， 一 个 安装 了 代理 的 服务 器 
可 以 被 多 个 主 控 所 控制 ， 一 个 主 控 也 同时 控制 多 个 代理 。 

采用 这 种 三 层 结构 ， 黑 客 不 直接 控制 攻击 倪 儒 机 ， 而 要 通过 控制 倪 儒 机 发 动 进攻 确保 
黑客 的 安全 。 黑 客 发 出 指令 后 ， 就 可 以 断 开 连 接 ， 由 主 控 负责 指挥 代理 展开 攻击 。 因 此 ， 
黑客 连接 网 络 和 发 送 指令 的 时 间 很 短 ， 隐 蔽 性 极 强 ， 不 易 被 防御 ， 导 致 DDoS 攻击 难以 被 
追查 。 从 攻击 者 的 角度 来 说 ， 肯 定 不 愿意 被 撮 到 ， 而 攻击 者 使 用 的 倪 价 机 越 多 ， 他 实际 上 
提供 给 受害 者 的 分 析 依 据 就 越 多 。 在 占领 一 台 机 器 后 ， 高 水 平 的 攻击 者 首先 会 做 两 件 事 : 
外 考虑 如 何 留 好 后 门 ; @ 如 何 清理 日 志 。 这 就 是 控 掉 脚印 , 不 让 自己 做 的 事 被 别人 察觉 到 。 
比较 不 敬业 的 黑客 会 把 日 志 全 都 删 掉 ， 但 这 样 的 话 ， 网 络 管理 员 一 旦 发 现 日 志 都 没 了 ， 就 
会 知道 有 人 干 了 坏事 ， 顶 多 无 法 再 从 日 志 发 现 是 谁 干 的 而 已 。 相 反 ， 真 正 的 高 手 会 挑 有 关 
自己 的 日 志 项 目 删 掉 ， 让 人 看 不 到 异常 的 情况 。 这 样 可 以 长 时 间 地 利用 倪 候 机 。 
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但 是 ， 在 攻击 佛 偶 机 上 清理 日 志 实在 是 一 项 庞大 的 工程 ， 即 使 在 有 很 好 的 日 志清 理工 
具 的 帮助 下 ， 黑 客 对 这 个 任务 也 是 很 头痛 的 。 这 就 导致 有 些 攻 击 机 弄 得 不 是 很 干净 ， 通 过 
已 上 面 的 线索 找到 了 控制 它 的 上 一 级 计算 机 ， 上 一 级 的 计算 机 如 果 是 黑客 自己 的 机 器 ， 那 
么 他 就 会 被 揪 出 来 了 。 但 如 果 这 是 控制 用 的 俐 候 机 ， 黑 客 自身 还 是 安全 的 。 控 制 便 价 机 的 
数目 相对 很 少 ， 一 般 一 台 就 可 以 控制 几 十 台 攻 击 机 ， 清 理 一 台 计 算 机 的 日 志 对 黑客 来 讲 轻 
松 多 了 ， 这 样 ， 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 减 小 。 


62. 在 http:/www.fbi.gov/nipc/trinoo .htm 上 有 一 个 检测 和 根除 trinoo 的 自动 程序 。 请 下 
载 并 试用 一 次 。 

答 : trinoo 是 基于 UDPflood 的 攻击 软件 ， 它 向 被 攻击 目标 主机 随机 端口 发 送 全 零 的 4B 
UDP 包 , 被 攻击 主机 的 网 络 性 能 在 处 理 这 些 超出 其 处 理 能 力 垃圾 数据 包 的 过 程 中 不 断 下 降 ， 
直至 不 能 提供 正常 服务 ， 甚 至 崩 湿 。 


63. trinoo DDoS 有 如 下 一 些 基 本 特性 ， 请 根据 这 些 特性 提出 抵御 trinoo 的 策略 。 

(1) 在 主 控 (master) 程序 与 代理 程序 的 所 有 通信 中 ，trinoo 都 使 用 UDP。 

(2) trinoo master 程序 的 监听 端口 是 27655， 攻 击 者 一 般 借助 Telnet 通过 TCP 连接 到 
master 程序 所 在 的 计算 机 。 

(3) 所 有 从 master 程序 到 代理 程序 的 通信 都 包含 字符 串 “144”， 并 且 被 引导 到 代理 的 
UDP 端口 27444。 

(4) master 和 代理 之 间 通 信 受 到 口令 的 保护 ， 但 是 口令 不 是 以 加 密 格 式 发 送 的 ， 因 此 
它 可 以 被 “ 嗅 探 ”到 并 被 检测 出 来 。 

答 : DoS (Denial of Service) 即 拒绝 服务 。 造 成 DoS 攻击 行为 的 被 称 为 DoS 攻击 ， 其 
目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 最 常见 的 DoS 攻击 有 计算 机 网 络 带 宽 攻击 和 
连通 性 攻击 。DoS 攻击 是 指 故意 的 攻击 网 络 协议 实现 的 缺陷 或 直接 通过 野蛮 手段 耗 尽 被 攻 
击 对 象 的 资源 ， 让 目标 计算 机 或 网 络 无 法 提供 正常 的 服务 或 资源 访问 ， 使 目标 系统 、 服 务 
系统 停止 响应 ， 甚 至 崩溃 ， 而 在 此 攻击 中 并 不 包括 侵入 目标 服务 器 或 目标 网 络 设 备 。 这 些 
服务 资源 包括 网 络 带宽 、 文 件 系统 空间 容量 、 开 放 的 进程 或 者 允许 的 连接 。 这 种 攻击 会 导 
致 资源 匮乏 ， 无 论 计 算 机 的 处 理 速度 多 快 、 内 存 容 量 多 大 、 网 络 带宽 的 速度 多 快 ， 都 无 法 
避免 这 种 攻击 带 来 的 后 果 。 

trinoo 是 复杂 的 DDoS 攻击 程序 , 它 使 用 master 程序 对 实际 实施 攻击 的 任何 数量 的 “ 代 
理 ” 程 序 实 现 自动 控制 。 攻 击 者 连接 到 安装 了 master 程序 的 计算 机 ， 启 动 master 程序 ， 然 
后 根据 一 个 卫 地 址 的 列表 ， 由 master 程序 负责 启动 所 有 的 代理 程序 。 接 着 ， 代 理 程 序 用 
UDP 信息 包 冲 击 网 络 ， 从 而 攻击 目标 。 在 攻击 之 前 ， 侵 入 者 为 了 安装 软件 ， 已 经 控制 了 装 
有 master 程序 的 计算 机 和 所 有 装 有 代理 程序 的 计算 机 。 

下 面 是 trinoo DDoS 攻击 的 基本 特性 以 及 建议 采用 的 抵御 策略 。 

(1) 在 master 程序 与 代理 程序 的 所 有 通信 中 ，trinoo 都 使 用 了 UDP。 入 侵 检测 软件 能 
够 寻找 使 用 UDP 的 数据 流 〈 类 型 17)。 

(2) trinoo master 程序 的 监听 端口 是 27655， 攻 击 者 一 般 借助 telnet 通过 TCP 连接 到 
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master 程序 所 在 的 计算 机 。 入 侵 检测 软件 能 够 搜索 到 使 用 TCP( 类 型 6) 并 连接 到 端口 27655 
的 数据 流 。 

(3) 所 有 从 master 程序 到 代理 程序 的 通信 都 包含 字符 串 “144”， 并 且 被 引导 到 代理 的 
UDP 端口 27444。 入 侵 检测 软件 检查 到 UDP 端口 27444 的 连接 ， 如 果 有 包含 字符 串 144 的 
信息 包 被 发 送 过 去 ， 那 么 接收 这 个 信息 包 的 计算 机 可 能 就 是 DDoS 代理 。 

(4) master 和 代理 之 间 通 信 受 到 口令 的 保护 ， 但 是 口令 不 是 以 加 密 格式 发 送 的 ， 因 此 
它 可 以 被 “ 嗅 探 ”到 并 被 检测 出 来 。 使 用 这 个 口令 以 及 来 自 Dave Dittrich 的 trinot 脚本 ， 要 
准确 地 验证 出 trinoo 代理 的 存在 是 很 可 能 的 。 

一 旦 一 个 代理 被 准确 地 识别 出 来 ，trinoo 网 络 就 可 以 按照 如 下 步骤 被 拆除 。 

A. 在 代理 daemon 上 使 用 strings 命令 ， 将 master 的 全 地 址 暴露 出 来 。 

B. 与 所 有 作为 trinoo master 的 机 器 管理 者 联系 ， 通 知 它们 这 一 事件 。 

C. 在 master 计算 机 上 识别 含有 代理 亿 地 址 列表 的 文件 (默认 名 为 “...”)， 得 到 这 些 计 
算 机 的 卫 地 址 列表 。 

D. 向 代理 发 送 一 个 伪造 trinoo 命令 禁止 代理 。 通 过 crontab 文件 (在 UNIX 系统 中 ) 的 
一 个 条 目 ， 代 理 可 以 有 规律 地 重新 启动 ， 因 此 ， 代 理 计 算 机 需要 一 遍 一 遍地 被 关闭 ， 直 到 
代理 系统 的 管理 者 修复 了 crontab 文件 为 止 。 

E. 检查 master 程序 的 活动 TCP 连接 , 这 能 显示 攻击 者 与 trinoo master 程序 之 间 存 在 的 
实时 连接 。 

F. 如 果 网 络 正在 遭受 trinoo 攻击 ， 那 么 系统 就 会 被 UDP 信息 包 所 淹没 。trinoo 从 同一 
源 地 址 向 目标 主机 上 的 任意 端口 发 送信 息 包 。 探 测 trinoo 就 是 要 找到 多 个 UDP 信息 包 ， 它 
们 的 特点 是 使 用 同一 来 源 瑟 地 址 、 同 一 目标 瑟 地 址 、 同 一 源 端口 和 不 同 的 目标 端口 。 

G. 在 美国 FBI 网 站 上 下 载 检测 和 根除 trinoo 的 自动 程序 。 


64. 在 网 络 上 下 载 2 一 3 个 DDoS 监测 软件 ， 安 装 到 自己 的 机 器 上 ， 记 录 其 工作 过 程 。 

答 : (1) V1.0 幽幽 DDoS 攻击 探测 器 下 载 ， 实 时 监控 DDoS 攻击 流量 ， 下 载 地 址 为 
http://www.cr173.com/soft/9245.html。 

(2) 中 新 金盾 防火 墙 DDoS 攻击 监测 工具 的 下 载 网 址 为 http://dl.pconline.com.cn/ 
download/614714.html 。 


65. 总 结 DDoS 攻击 的 防御 方法 。 

答 : DDoS 攻击 的 防御 有 两 种 方式 : 一 种 是 直接 在 高 防 机 房 架设 服务 器 ， 做 一 个 跳 转 ， 
直接 隐藏 真实 卫 ， 另 一 种 是 选择 内 容 分 发 网 络 (Content Delivery Network，CDN)， 直 接 将 
攻击 分 配 到 各 个 CDN 点 上 。 

总 体 来 说 ， 对 DoS 和 DDoS 的 防范 主要 从 下 面 几 个 方面 考虑 : 

尽 可 能 对 系统 加 载 最 新 补丁 ， 并 采取 有 效 的 合 规 性 配置 ， 降 低 漏洞 利用 风险 ; 

采取 合适 的 安全 域 划 分 ， 配 置 防火 墙 、 入 侵 检测 和 防范 系统 ， 减 缓 攻击 。 采 用 分 布 式 
组 网 、 负 载 均衡 、 提 升 系统 容量 等 可 靠 性 措施 ， 增 强 总 体 服务 能 

可 参考 的 具体 措施 如 下 。 
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(1) 采用 高 性 能 的 网 络 设备 。 

首先 ， 保 证 网 络 设备 不 能 成 为 瓶颈 ， 因 此 选择 路 由 器 、 交 换 机 、 硬 件 防 火 墙 等 设备 时 
要 尽量 选用 知名 度 高 、 口 碑 好 的 产品 。 其 次 ， 如 果 和 网 络 提供 商 有 特殊 关系 或 协议 就 更 好 
了 ， 当 大 量 攻 击发 生 时 ， 请 他 们 在 网 络 接点 处 做 一 下 流量 限制 ， 对 抗 某 些 种 类 的 DDoS 攻 
击 是 非常 有 效 的 。 

(2) 尽量 避免 NAT 的 使 用 。 

无 论 是 路 由 器 , 还 是 硬件 防护 墙 设备 ,要 尽量 避免 采用 网 络 地 址 转换 (NAT) 的 使 用 ， 
因为 采用 此 技术 会 较 大 降低 网 络 通信 和 能力。 原因 很 简单 ， 因 为 NAT 需要 对 地 址 来 回转 换 ， 
转换 过 程 中 需要 对 网 络 包 的 校 验 和 进行 计算 ， 因 此 浪费 了 很 多 CPU 的 时 间 ， 但 有 些 时 候 必 
须 使 用 NAT， 那 就 没有 好 办 法 了 。 

(3) 充足 的 网 络 带 宽 保 证 。 

网 络 带宽 直接 决定 了 能 抗 受 攻击 的 能 力 ， 假 若 仅 有 10Mb/s 带宽 ,无论 采 取 什 么 措施 都 
很 难 对 抗 当今 的 SYN Flood 攻击 ， 至 少 要 选择 100Mb/s 的 共享 带宽 ， 最 好 的 当然 是 挂 在 
1000Mb/s 的 主干 上 了 。 但 需要 注意 的 是 , 主机 上 的 网 卡 是 1000Mb/s 的 并 不 意味 着 它 的 网 络 
带宽 就 是 千 兆 的 ， 若 把 它 接 在 100Mb/s 的 交换 机 上 ,， 它 的 实际 带宽 不 会 超过 100Mb/s， 再 就 
是 接 在 100Mb/s 的 带宽 上 也 不 等 于 就 有 了 百 兆 的 带宽 ， 因 为 网 络 服务 商 很 可 能 会 在 交换 机 
上 限制 实际 带宽 为 10Mb/s， 这 一 点 一 定 要 搞 清楚 。 

(4) 升级 主机 服务 器 硬件 。 

在 有 网 络 带宽 保证 的 前 提 下 , 请 尽量 提升 硬件 配置 , 要 有 效 对 抗 每 秒 10 万 个 SYN 攻 
击 包 ， 服 务 器 的 配置 至 少 应 该 为 : P4 2.4GHz/DDR512MB/SCSI-HD， 起 关键 作用 的 主要 是 
CPU 和 内 存 ， 内 存 一 定 要 选择 DDR 的 高 速 内 存 ， 硬 盘 要 尽量 选择 SCSI 的 ， 别 贪 IDE 价 
格 低 量 还 足 的 便宜 ， 和 否则 会 付出 高 昂 的 性 能 代价 ， 再 就 是 一 定 要 选用 3COM 或 Intel 等 名 
牌 的 网 卡 ， 若 是 Realtek 的 ， 还 是 用 在 自己 的 PC 上 吧 。 

(5) 把 网 站 做 成 静态 页 面 。 

大 量 事实 证 明 ， 把 网 站 尽 可 能 做 成 静态 页 面 ， 不 仅 能 大 大 提高 抗 攻 击 能 力 ， 而 且 还 给 
黑客 入 侵 带 来 不 少 麻烦 ， 至 少 到 目前 为 止 ， 关 于 HTML 的 溢出 还 没 出 现 ， 新 浪 、 搜 狐 、 网 
易 等 门户 网 站 主要 都 是 静态 页 面 ， 若 你 一 定 需 要 动态 脚本 调用 ， 那 就 把 它 放 到 另外 一 台 单 
独 主机 ， 以 免 遭 受 攻击 时 连累 主 服务 器 。 当 然 ， 适 当 放 一 些 动态 脚本 不 做 数据 库 调用 脚本 
还 是 可 以 的 。 此 外 , 最 好 在 需要 调用 数据 库 的 脚本 中 拒绝 使 用 代理 的 访问 ， 因 为 经 验 表明 ， 
使 用 代理 访问 网 站 的 80% 属 于 恶意 行为 。 

(6) 软件 定义 网 络 (Software Defined Network. SDN) 技术 在 安全 防护 方面 的 优势 。 

SDN 将 网 络 控制 平面 与 网 络 传输 平面 分 离 出 来 ， 由 集中 式 控 制 器 控制 管理 整个 网 络 的 
数据 转发 和 处 理 功 能 ， 其 多 粒度 网 络 分 析 能 力 可 以 高 效 地 提供 实时 网 络 状态 信息 ， 为 网 络 
运 维 人 员 快 速 发 现 和 识别 异常 流量 提供 便利 。 

SDN 灵活 可 调度 提高 安全 响应 速度 。SDN 技术 将 物理 资源 进行 虚拟 化 ， 并 利用 其 可 编 
程 的 特点 为 运 维 人 员 提 供 快速 调整 资源 部 署 和 流量 调度 的 能 力 ， 在 发 现 攻 击 行为 或 者 流量 
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异常 时 可 以 在 第 一 时 间 制 订 相 应 的 策略 并 下 发 至 各 个 网 络 节点 ， 进 行 流量 阻 断 或 重 定向 清 
洗 。 另 外 ， 当 面 对 超 出 现 有 处 理 能 力 的 安全 攻击 时 ， 还 可 以 快速 将 防护 资源 或 者 带宽 资源 
向 被 攻击 网 络 进行 调配 ， 以 便 满足 安全 防御 和 业务 保证 的 需求 。 

SDN 服务 开放 性 可 提供 联动 接口 和 定制 化 服务 ，SDN 架构 中 北向 接口 的 开放 性 支持 引 
入 第 三 方 的 流量 检测 和 清洗 虚拟 功能 模块 ， 也 支持 与 其 他 系统 的 联动 交互 ， 而 且 还 可 以 根 
据 客户 提出 的 实际 需求 提供 定制 化 异常 流量 清洗 服务 ， 如 清洗 的 带宽 、 清 洗 的 触发 条 件 、 
清洗 的 内 容 等 。 

SDN 部 署 成 本 较 低 有 利于 全 网 推广 部 署 。SDN 的 虚拟 化 能 力 使 得 在 安全 系统 部 署 实施 
中 只 须 使 用 通用 的 硬件 服务 器 ， 并 安装 不 同 虚 拟 机 软件 即 可 具备 防护 功能 ， 从 而 实现 硬件 
设备 的 共享 复 用 。 另 外 ， 通 过 对 虚拟 化 能 力 的 智能 化 编排 ， 可 以 实现 按 需 分 配 防护 资源 ， 
并 对 全 网 流量 进行 调度 牵引 ， 避 免 元 余 备 份 、 减 少 建设 成 本 和 运 维 成 本 。 


66， 浏览 3 个 黑客 网 站 ， 综 述 黑客 们 讨论 的 热点 问题 。 
答 : 黑客 常用 网 站 如 图 1-7 所 示 。 


侠 搜 狗 搜 索 着 加 网 页 从 信 吉平 图 片 搞 闫 明 医 海外 学 术 更 名- 
| 号 客 网 站 投 独 3 


Iq 黑客 基地 旺 新 的 里 安 同 站 蓝 翔 黑客 事件 


: : ; 中 国 黑客 联盟 :; : : www.ChinaHacker com 欢迎 登陆 China .. 
Hacker Union For China 问 ICP 备 05007859 号 DDOS 防 彻 联系 受 们 
www.chinahacker.com/ - 2 天 前 - 快 强 


QQ Ft 专业 的 QQ 黑客 技术 黑客 网 站 ! 
| 具 赤 教程 | 选号 教程 |QQ 对 天 记录 玻 峡 |QQ 震 码 葡 是 | 微 信 密 码 破解 | 


- www hxhack .com - 2016-9-30 - 志 更 


图 1-7 黑客 常用 网 站 
讨论 的 热点 问题 有 系统 漏洞 、 分 布 式 拒绝 服务 攻击 、 破 解 口令 及 安全 防御 等 。 
67. 信息 系统 为 什么 会 存在 攻击 ? 试 从 硬件 和 软件 两 方面 加 以 回答 。 
答 : 信息 系统 存在 攻击 是 系统 自身 的 脆弱 性 导致 的 ， 其 中 包括 硬件 和 软件 两 方面 的 脆 


弱 。 信 息 系统 的 硬件 脆弱 性 来 自 设计 上 的 不 完善 和 有 限 寿命 ， 软 件 组 件 的 脆弱 性 来 源 于 设 
计 和 软件 工程 实施 中 遗留 的 问题 ， 软 件 设计 中 的 玻 包 ， 软 件 设计 中 不 必要 的 功能 见 余 、 软 
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件 过 长 过 大 ， 软 件 设计 不 按 信息 系统 安全 等 级 要 求 进行 模块 化 设计 以 及 软件 工程 实现 中 造 
成 的 软件 系统 内 部 逻辑 混乱 等 。 


68. 黑客 攻击 信息 系统 有 哪些 方法 ? 

答 : 网 络 黑客 的 主要 攻击 手法 有 : 获取 口令 、 放 和 置 木马 病毒 软件 、Web 欺骗 技术 、 电 
子 邮 件 攻击 、 通 过 一 个 节点 攻击 另 一 节点 、 网 络 监听 、 寻 找 系统 漏洞 、 利 用 缓冲 区 溢出 窃 
取 特 权 等 。 
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第 2 章 数据 安全 保护 


2.1 第 2 章 知识 提 要 


本 章 详细 讲解 数据 保护 ， 包 括 数据 加 密 解 密 基础 、 对 称 和 非 对 称 密码 体制 、 数 据 加 密 
的 国际 标准 消息 认证 DES、AES、 数 字 签名 的 国际 标准 DSA、 电 子 商 务 交 易 SET 的 主要 流 
程 等 。 


2.2 第 2 章 习 题 和 答案 详解 


一 、 选 择 题 答案: ACCBA CD) 


1. 假设 使 用 一 种 加 密 算法 ， 它 的 加 密 方法 很 简单 : 将 每 一 个 字母 加 5， 即 a 加 密 成 f。 这 种 算 
法 的 密 钥 就 是 s， 那 么 它 属于 
A. 对 称 加 密 技术 
B. 分 组 密码 技术 
C. 公 钥 加 密 技术 
D. 单 向 函数 密码 技术 


> 


解答 : 对 称 密码 是 指 加 密 密 钥 和 解密 密 钥 相 同 ， 因 此 选 A。 


2.“ 公 开 密 钥 密码 体制 ”的 含义 是 
A. 将 所 有 密 钥 公 开 
B. 将 私有 密 钥 公开 ， 公 开 密 钥 保密 
C. 将 公开 密 钥 公 开 ， 私 有 密 钥 保密 
. 两 个 密 钥 相同 


已 


解答 : 公开 密 钥 体制 的 定义 是 公 钥 公开 ， 私 钥 保 密 ， 因 此 选 C。 


路 


3. A 方 有 一 对 密 钥 (Kaa, Kag)，B 方 有 一 对 密 钥 (Kss, Kag)，A 方 向 B 方 发 送 数 字 签名 M， 对 信 
息 M 加 密 为 M = Ksa(Kag(M))。B 方 收 到 密 文 的 解密 方案 是 5 
A. Kaa(Kaa(M )) 
B. Kaa(Kaa(M '")) 
C. Kaa(Kea(M )) 
D. Ksu(Kaa(M '")) 
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解答 : 解密 方案 是 加 密 的 逆 运 算 ， 因 此 选 C。 


4. 使 用 数字 签名 技术 ， 在 发 送 端 ， 它 是 采用 对 要 发 送 的 信息 进行 数字 签名 的 。 
A. 发 送 者 的 公 钥 
B. 发 送 者 的 私 钥 
C. 接收 者 的 公 钥 
D. 接收 者 的 私 钥 


解答 数字 签名 是 用 发 送 者 的 私 钥 对 数字 进行 加 密 ， 因 此 选 B。 


An 


. 使 用 数字 签名 技术 ， 在 接收 端 ， 采 用 进行 签名 验证 。 
A. 发 送 者 的 公 钥 
B. 发 送 者 的 私 钥 
C. 接收 者 的 公 钥 
D. 接收 者 的 私 钥 


六 
> 


解答 :数字 签名 的 验证 是 使 用 发 送 者 的 公 钥 进 行 验证 ， 因 此 选 A。 


6. 数字 签名 要 预先 使 用 单 向 Hash 函 数 进行 处 理 的 原因 是 
A. 多 一 道 加 密 工 序 ， 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 ， 加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 


准 
on 


解答 : 只 有 C 最 符合 题 中 的 描述 。 


7. 设 哈 希 函数 瓦 的 输出 长 度 为 128 位 ， 如 果 五 的 大 个 随机 输入 中 至 少 有 两 个 产生 相同 输 
出 的 概率 大 于 0.5， 则 大 约 等 于 
机。 Ds 
B: 2 
名 2 
D 


256 
本 


解答 : 128 的 2 倍 等 于 256， 因 此 选 D。 
二 、 填 空 题 
答案 : 1. 明文 空间 ， 密 文 空间 ， 密 钥 空 间 ， 密 码 算法 
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. 解密 算法 DD 

. 对 称 密码 

RSA 

传送 密 铀 ， 数 字 签名 

. 生成， 分配， 使用， 保护， 存储 ， 更 新 ， 销 毁 
. 人 为 设 定 生成 ， 自 动 密 钥 设备 生成 
用 户 

KDC 

. 消息 的 完整 性 

. 数字 签名 
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14. 哈 希 函数 


openwmhwmnb 


aa 
= 


js 
oy 


. 密码 系统 包括 以 下 4 个 方面 : 明文 空间 、_ 密 文 空间 、 密 钥 空 间 和 .密码 算法 。 

. 解密 算法 D 是 加 密 算法 E 的 逆 运 算 。 

. 如 果 加 密 密 钥 和 解密 密 钥 相同 ， 则 这 种 密码 体制 称 为 _ 对 称 密码 _ 体 制 。 

. RSA 算法 的 安全 是 基于 分 解 两 个 大 素数 的 积 的 困难 。 

. 公开 密 钥 加 密 算法 的 用 途 主要 包括 两 个 方面 : 传送 密 钥 、 数 字 签名 。 

. 密 钥 管理 的 主要 内 容 包 括 密 钥 的 生成 、 分 配 、 使 用 、 保 护 、 在 储 、 更 新 和 销毁 。 

. 密 钥 生 成 形式 有 两 种 : 一 种 是 由 人 为 设 定 生成 ， 另 一 种 是 由 自动 密 钥 设备 生成 。 

. 密 钥 的 分 配 是 指 产生 并 使 用 户 获得 密 钥 的 过 程 。 

. 密 钥 分 配 中 心 的 英文 缩写 是 KDC。 

10. 消息 认证 是 验证 消息 的 完整 性 ， 即 验证 数据 在 传送 和 存储 过 程 中 是 否 被 算 改 、 重 放 或 延 
迟 等 。 

11. 数字 签名 是 笔迹 签名 的 模拟 ， 是 一 种 包括 防止 源 点 或 终点 否认 的 认证 技术 。 

12. 安全 电子 交易 〈SET) 协议 是 实现 交易 安全 的 核心 技术 之 一 ， 它 的 实现 基础 就 是 加 密 技 
术 ， 能 够 实现 电子 文档 的 辨认 和 验证 。 

13. MAC 函 数 类 似 于 加 密 ， 它 与 加 密 的 区 别 是 其 不 要 求 可 逆 性 。 

14. 哈 希 函数 是 可 接受 变 长 数据 输入 ， 并 生成 定 长 数据 输出 的 函数 。 


三 、 问 答题 


Do 下 wm 上 wm 一 


1. 有 明文 can you understand， 

(1) 假定 有 一 个 密 铀 ， 其 顺序 为 2，4，3，1 的 列 换 位 密码 ， 其 换 位 密 文 是 什么 ? 

(2) 设 密 钥 是 ;=1，2，3，4 的 一 个 置换 f(i)=1，3，4，2， 则 周期 为 4 的 换 位 密 文 是 
什么 ? 

答 : (1) 首先 ，4 位 分 成 4 列 4 行 矩阵 ， 按 行 输入 


2431 
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cany 


ee 
tand 
按照 题 中 给 定 的 换 位 密码 规则 : 2,4,3,1， 列 表 如 下 。 


密 钥 序列 号 


也 就 是 首先 读 出 的 是 第 四 列 ， 按 密 钥 的 列 顺序 读 出 ， 得 其 换 位 密 文 为 
ynsd codt nurn auea 
(2) codt ynsd auea nurn。 


2. 设 P=blue sky and green tree, 密 钥 K=data, 则 采用 维 吉 尼 亚 密 码 的 加 密 字母 是 什么 ? 
ASCII 编码 的 输出 为 什么 ? 

答 :加 密 字母 是 ELNE VKR AQD ZRHEG TUEX, 十 进 制 AsCII 编码 输出 是 69 76 78 69 
86 75 82 65 81 68 90 82 72 69 71 84 85 69 88, 十 六 进 制 ASCII 编码 输出 是 45 4C 4E 45 56 4B 
52 41 51 44 SA 52 48 45 47 54 55 45 58， 二 进 制 ASCII 编码 输出 是 01000101 01001100 
01001110 01000101 01010110 01001011 01010010 01000001 01010001 01000100 01011010 
01010010 01001000 01000101 01000111 01010100 01010101 01000101 01011000 


3. 比较 两 种 密 钥 体制 的 优 缺 点 。 

答 : 这 里 ， 两 种 密 钥 体制 是 指 对 称 密码 体制 和 非 对 称 密 码 体制 。 对 称 密码 体制 是 指 加 
密 密 铀 和 解密 密 钥 相 同 ， 著 名 的 有 DES、AES 算法 等 。 非 对 称 密码 体制 是 指 加 密 密 钥 和 解 
密 密 钥 不 相同 ， 或 者 说 不 能 由 其 中 一 个 密 钥 推 导出 另 一 个 密 钥 ， 著 名 的 有 RSA 算法 等 。 

对 称 密码 体制 的 优点 在 于 效率 高 、 加 解密 速度 快 、 密 钥 较 短 、 发 展 历史 悠久 、 算 法 简 
单 、 系 统 开 销 小 、 适 合 加 密 大 量 数 据 。 

缺点 如 下 。 

(1) 密 钥 是 保密 通信 的 关键 ， 发 信 方 必须 安全 、 妥 善 地 把 密 钥 送 到 收 信 方 ， 不 能 泄露 
其 内 容 ， 密 钥 的 传输 必须 安全 ， 如 何 才能 把 密 钥 安全 送 到 收 信 方 是 对 称 加 密 体制 的 突出 
问题 。 

(2) n 个 合作 者 就 需要 n 个 不 同 的 密 铀 ， 如 果 个 人 两 两 通信 需要 密 钥 的 数量 为 
Hz-1)， 则 使 得 密 钥 的 分 发 复杂 。 

(3) 通信 双方 必须 统一 密 钥 ， 才 能 发 送 保密 信息 ， 如 果 双 方 不 相识 ， 就 无 法 向 对 方 发 
送 秘密 信息 了 。 

(4) 难以 解决 电子 商务 系统 中 的 数字 签名 认证 问题 。 对 开放 的 计算 机 网 络 ， 存 在 着 安 
全 隐患 ， 不 适合 网 络 邮件 加 密 需 要 。 
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非 对 称 密码 体制 加 密 算法 复杂 ， 加 密 和 解密 的 速度 比较 慢 ， 它 的 优点 如 下 。 

(1) 公 钥 加 密 技术 与 对 称 加 密 技术 相 比 ， 其 优势 在 于 不 需要 共享 通用 的 密 钥 。 

(2) 公 钥 在 传递 和 发 布 过 程 中 即使 被 截获 ， 由 于 没有 与 公 钥 相 匹配 的 私 铀 ， 截 获 的 公 
钥 对 入 侵 者 没有 太 大 意义 。 

(3) 密 钥 少 ， 便 于 管理 ，N 个 用 户 通 信 只 需要 NN 对 密 钥 ， 网 络 中 的 每 个 用 户 只 需要 保 
存 自 己 的 解密 密 钥 。 

(4) 密 钥 分 配 简单 ， 加 密 密 钥 分 发 给 用 户 ， 而 解密 密 钥 由 用 户 自 己 保留 。 

(5) 保证 数据 的 真实 性 和 完整 性 ， 可 以 利用 非 对 称 密码 算法 进行 数字 签名 。 

非 对 称 密码 的 缺点 是 加 解密 速度 慢 、 密 钥 尺 寸 大 、 发 展 历史 较 短 ， 一 般 不 用 于 长 文件 
和 大 量 数据 的 加 解密 ， 主 要 用 于 数字 签名 认证 和 实体 之 间 的 密 钥 交换 。 


4. 解释 AES 解密 算法 。 
答 : 由 于 AES 是 对 称 密码 算法 ， 因 此 AES 的 解密 算法 是 对 加 密 算法 的 逆 运 算 ， 具体 如 
图 2-1 所 示 。 


5. 编写 程序 ， 实 现 AES 加 密 算法 。 
答 : AES 的 加 密 与 解密 流程 如 图 2-1 所 示 。 
AES 是 分 组 密 钥 , 算法 输入 128 位 数据 ， 密 钥 长 度 也 是 128 位 。 用 Nr 表示 对 一 个 数据 
分 组 加 密 的 轮 数 。 每 一 轮 都 需要 一 个 与 输入 分 组 具有 相同 长 度 的 扩展 密 钥 Expandedkey(D) 
的 参与 。 由 于 外 部 输入 的 加 密 密 钥 天 长 度 有 限 ， 所 以 在 算法 中 要 用 一 个 密 钥 扩 展 程序 (Key 
Expansion) 把 外 部 密 钥 天 扩展 成 更 长 的 比特 串 , 以 生成 各 轮 的 加 密 和 解密 密 钥 。 
(1) 圈 变化 。 
AES 每 一 个 圈 变 换 都 由 以 下 三 个 层 组 成 。 
非 线 性 层 一 一 进行 Subbyte 变换 。 
线性 混合 层 一 一 进行 ShiftRow 和 MixColumn 运算 。 
密 钥 加 层 一 一 进行 AddRoundKey 运算 。 
@ Subbyte 变换 是 作用 在 状态 中 每 字 节 上 的 一 种 非 线性 字 节 转换 , 可 以 通过 计算 出 的 5 
盒 进行 映 射 。 
Schange: 
ldi zh, $01; 将 指针 指向 S 盒 的 首 地 址 
mov zl,r2; 将 要 查找 的 数据 作为 指针 低地 址 


ldtemp, z+; 取出 这 个 对 应 的 数据 
mov r2,temp; 交换 数据 完成 查 表 


ret 


@ ShiftRow 是 一 字 节 换 位 。 它 将 状态 中 的 行 按照 不 同 的 偏 移 量 进 行 循环 移 位 ， 而 这 个 
偏 移 量 也 是 根据 Nb 的 不 同 而 选择 的 。 
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明文 明文 
(16B) 扩展 密 铀 (16B) 


w[36,39] 


2-1 AES 的 加 密 与 解密 流程 


ShiftRow: ;这 是 一 字 节 换 位 的 子 程序 


temp, r3; 因 为 是 4X4 

PTT r2 v6 viD vid v2 26 E10 1s 
Eelar v3 LT rid r= 2 23 
rl1lr1lSy re r8 rl12 r17 ri2 ri7 rd4 r8 
rl5,temp; r5 r9 rl3 rl18 rl18 r5 r9 rl3 
temp,r4 

templ,r8 

Ey 

于 和 站 了 

r12, temp 

r17, templ 

temp, r18 

rl18,r13 

rl3 9 
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mov r9,r5 
mov r5, temp 


ret 


@ 在 MixColumn 变换 中 把 状态 中 的 每 一 列 看 作 GF(28) 上 的 多 项 式 a(x) 与 固定 多 项 式 


c(x) 相 乘 的 结果 。b(x)=c(x)*a(x) 的 系数 这 样 计算 : * 运 算 不 是 普通 的 乘法 运算 , 而 是 特殊 的 运 


算 ， 


即 
b(x)=c(x)?a(x)(mod x4+1) 
对 于 这 个 运算 ， 
b0=02.a0+03.alta2+ta3 
今 xtime(a0)=02.a0 
其 中 ， 符 号 “。” 表 示 模 一 个 八 次 不 可 约 多 项 式 的 同 余 乘 法 。 
mov temp, a0; 这 是 一 个 MixColumn 子 程序 
rcall xtime; 调 用 xtime 程序 
mov a0,temp 
mov temp,al 
rcall xtime 
eor a0,al 


eor a0,temp 
eor a0,a2 


xtime:; 这 是 一 个 子 程序 
ldi templ, $1b 
1s1 temp 
brcs next1; 如 果 最 高 位 是 1, 则 转移 
next: ret; 否则 什么 也 不 变化 
next1l:eor temp,templ 
rjmp next 


对 于 逆 变化 ， 其 矩阵 C 要 改变 成 相应 的 D， 即 b(x)=qd(x)*a(x)。 

@ 密 钥 加 层 运算 (addround) 是 将 圈 密 钥 状 态 中 的 对 应 字 节 按 位 “ 异 或 ”。 

@ 根据 线性 变化 的 性 质 ， 解 密 运 算是 加 密 变化 的 逆 变 化 。 这 里 不 再 详细 叙述 。 

(2) 轮 变 化 。 

(3) 密 钥 扩展 。 

AES 算法 利用 外 部 输入 密 钥 玉 〈 密 钥 串 的 字数 为 Nt)， 通 过 密 钥 的 扩展 程序 得 到 共计 


4(Nr+1) 字 的 扩展 密 钥 。 它 涉及 如 下 3 个 模块 。 


@ 位 置 变 换 (rotword) 一 一 把 一 个 4B 的 序列 [A,B,C,D] 变 换 成 [B,C,D,A]。 
@ 5 盒 变换 (subword) 一 一 对 一 个 4B 进行 8 盒 代 替 。 
图 变换 Rcon[i] 一 一 Rcon[i] 表 示 32 位 比特 字 [xi-1.00.00.00]。 这 里 的 x 是 (02)， 如 


Reon[1]=[01000000]; Reon[2]=[02000000]; Reon[3]=[04000000]…… 


扩展 密 钥 的 生成 : 扩展 密 钥 的 前 NE 个 字 就 是 外 部 密 钥 ;以 后 的 字 殉 [[ 可 等 于 它 前 一 


他 


[让 1]] 与 前 第 Nk 个 字 FT[F-N] 的 “ 异 或 ”, 即 [=F[i-1]] WILiTNA]。 但是， 车 i 


为 NE 的 倍数 ， 则 W[i]=W[i-NK] Subword(Rotword(W[[i-1]])) Reon[i/NK]。 
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程序 执行 的 时 候 ， 主 要 调用 以 上 几 个 子 程序 ， 具 体 实现 如 下 。 


Key Expansion: 
rcall rotword 
rcall subword 


rcall Rcon 


6. 具有 个 节点 的 网 络 如 果 使 用 公开 密 钥 密码 算法 ， 每 个 节点 的 密 钥 有 多 少 ? 网 络 中 
的 密 钥 共有 多 少 ? 
答 : N, N+N(N+1)/2。 


7. 在 非 对 称 密码 体制 中 ， 第 三 方 如 何 断定 通信 者 有 无 抵赖 或 伪造 行为 ? 
答 : 采用 有 仲裁 的 数字 签名 即 可 。 


8. 设 通信 双方 使 用 RSA 加 密 体制 ， 接 收 方 的 公开 密 钥 是 (em)=(5,35)， 求 明文 M=30 对 
应 的 密 文 。 

答 : 接收 方 的 公开 密 钥 是 (e,n)=(5,35), 按照 RSA 算法 知 ，n=-p*g=$*7， 所 以 三 5，qg=7， 
BD(n) = (p-1)(g-1)= 4X 6=24。 

取 e=5，1<e<@B(n)， 求 出 qd， 使 得 ed=1 mod 24 上 且 小 于 24。 

因为 5X5=24+1， 所 以 4=5。 因 此 ， 公 钥 为 (e, n)=(5,35)， 私 钥 为 (qd, n)=(5,35)。 

对 于 明文 M=30， 加 密 后 为 

C=M* mod n=307 mod 35=24300000 mod 35 = 3300000 mod 35=25 

所 以 ， 明 文 M=30 对 应 的 密 文 C=25。 


9. 在 使 用 RSA 公 钥 的 通信 中 ， 若 截取 了 发 送 给 其 他 用 户 的 密 文 C=10， 并 且 用 户 的 公 
钥 为 (e, n)=(5, 35)， 求 对 应 的 明文 。 

答 : 如 果 C=10， 明 文 M=C? mod n=10 mod 35 = 100000 mod 35 = 5, 即 对 应 的 明文 
为 5。 


10. 什么 是 序列 密码 和 分 组 密码 ? 

答 : 序列 密码 也 称 流 密码 ， 是 从 随机 数 序 列 的 产生 中 得 到 启发 的 ， 如 果 每 次 对 一 个 密 
钥 流 发 生 器 输入 不 同 的 种 子 密 钥 ， 就 会 生成 不 同 的 密 钥 序 列 。 这 是 一 种 对 称 加密 技 术 。 

分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 简称 明文 数字 ) 序列 划分 成 长 度 为 n 的 组 
(可 看 成 长 度 为 n 的 矢量 )， 每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 输出 数字 简称 密 文 数 
字 ) 序列 。 采 用 分 组 编码 的 好 处 是 易于 标准 化 。 


11. 简 述 通信 双方 如 何 使 用 密 钥 体制 建立 通信 中 的 信任 关系 。 
答 : 采用 密 钥 分 配 中 心 连接 用 户 间 的 密 钥 和 用 户 之 间 直 接 传 递 密 钥 两 种 方法 。 


Sl* 


- 有 哪些 建立 公开 密 钥 体 制 的 方法 ? 
KDC〈 密 钥 分 配 中心 ) 和 数字 证 书 。 


于 局 


13. 常规 加 密 密 钥 的 分 配 有 几 种 方案 ， 请 对 比 它们 的 优 缺点 。 

答 : 在 密 钥 管理 中 ， 最 关键 的 问题 就 是 密 钥 分 配 一 一 主要 涉及 密 钥 的 发 送 和 验收 ， 密 
钥 的 发 送 需要 非常 安全 的 通道 ， 密 钥 的 验收 需要 检验 密 钥 发 送 的 正确 性 。 

密 钥 的 分 配 有 两 种 方案 ;网 内 分 配 和 网 外 分 配 。 网 外 分 配 指派 非常 可 靠 的 信使 ， 如 邮 
递 员 或 信和 铀 等 携带 密 钥 分 配给 各 用 户 。 但 是 ， 如 果 用 户 数 过 大 ， 黑 客 技术 的 发 展 使 得 密 钥 
使 用 量 增 大 ， 且 要 求 频繁 更 换 ， 则 网 外 分 配 不 可 行 ， 这 时 需要 采用 网 内 分 配 ， 即 自动 密 钥 
分 配 。 

网 内 分 配 又 分 两 种 形式 : 用 户 之 间 直 接 分 配 和 通过 密 钥 中 心 分 配 。 


14. 如 何 利用 公开 密 钥 加 密 进行 单 钥 加 密 密 钥 的 分 配 ? 
答 : 对 于 通信 双方 来 说 ， 若 需要 进行 密 钥 的 分 配 ， 则 A 发 送 给 B 经 过 B 公 钥 加 密 的 密 
钥 ，B 利用 私 钥 解密 。 可 以 采用 非 对 称 加 密 算 法 〈 如 RSA) 完成 。 


15. 什么 是 无 碰撞 单 向 哈 希 函数 ? 

答 : 哈 希 函数 有 把 一 个 值 x*〈 值 x* 属于 一 个 有 很 多 个 值 的 集合 〈 或 者 是 无 穷 多 个 值 )) 
影射 到 另外 一 个 值 y»，y 属于 一 个 有 固定 数量 个 值 〈 少 于 前 面 集合 ) 的 集合 。 如 果 一 个 哈 希 
函数 如 具有 单 向 函数 的 性 质 一 一 也 就 是 : 给 定 一 个 值 x， 很 容易 计算 (x)， 但 是 ， 给 定 一 
个 值 y， 很 难 找到 一 个 值 x， 使 得 Hx)=y， 这 个 哈 希 函数 五 叫 作 单 向 哈 希 函数 。 如 果 对 于 此 
及 函数 不 同 的 输入 值 不 可 能 产生 相同 的 输出 值 ， 就 称 此 五 函数 为 无 碰撞 单 向 哈 希 函数 。 


16. 单 钥 加 密 体制 的 密 钥 分 配 有 哪 几 种 方法 ? 它们 分 别 有 什 么 优 缺 点 ? 

答 : 单 钥 加 密 体制 也 称 对 称 加 密 体 制 ， 它 对 于 用 户 A、B 的 密 钥 分 配 有 四 种 方法 。 

Q@ 由 人 A 发送 给 B。 

@ 由 第 三 方 发 送 给 A 和 B。 

这 两 种 方法 称 为 人 工 发 送 ， 如 果 有 n 个 用 户 ， 则 密 钥 数目 为 n(n-1)/2。n 很 大 时 ， 人 工 
发 送 是 不 可 行 的 。 

@ 已 有 的 共享 密 钥 加 密 新 密 钥 并 发 送 给 另 一 方 。 

这 种 方法 的 缺点 是 攻击 者 一 旦 获得 一 个 密 钥 ， 就 可 获取 以 后 所 有 的 密 钥 ， 用 这 种 方法 
对 所 有 用 户 分 配 初始 密 钥 时 ， 代 价 仍然 很 大 。 

@ 第 三 方 C 为 A、B 选取 密 钥 后 ， 分 别 在 两 个 保密 信道 上 发 送 给 A、B。 

这 种 方法 比较 常用 ， 其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 。 

这 时 每 一 用 户 必 须 和 密 钥 分 配 中 心 有 一 个 共享 密 钥 〈 称 为 主 密 钥 )。 通 过 主 密 钥 分 配给 
一 对 用 户 的 密 钥 称 为 会 话 密 钥 ， 用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ， 会 话 密 钥 
即 被 销毁 。 


。S72 。 


17. 假定 两 个 用 户 A、B 分 别 与 密 钥 分 配 中 心 (key distribution center，KDC) 有 一 个 共 
享 的 主 密 钥 KA 和 Ks (图 2-2)，A 希望 与 B 建立 一 个 共享 的 一 次 性 会 话 密 钥 ， 需 要 完成 哪 
些 步 骤 ? 


OR IN 
ORequestlN,_@ 6. [KallRequestl| NE (KylD)] 


ss» 

@EN] 

oa 一 一 

图 2-2 ” 密 钥 分 配 中 心 KDC 为 A 与 B 建立 一 个 共享 的 一 次 性 会 话 密 钥 过 程 


答 : @ A 向 KDC 发 出 会 话 密 钥 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 ， 第 1 项 是 
A 的 身份 ， 第 2 项 是 这 次 业务 的 唯一 识别 符 NM， 称 和 Ni 为 一 次 性 随机 数 ， 可 以 是 时 间 惟 、 计 
数 器 或 随机 数 。 每 次 请 求 用 的 Ni 都 应 不 同 ， 且 为 防止 假冒 ， 应 使 敌手 对 Ni 难以 猜测 ， 因 此 
用 随机 数 作 这 个 识别 符 最 合适 。 

@ KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 由 Ks 加密 的 消息 , 因此 只 有 A 才能 成 功 地 对 这 
一 消息 解密 ， 并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 消 息 中 包括 A 希望 得 到 的 两 
项 内 容 : 

i . 一 次 性 会 话 密 钥 Ks。 

订 . A 在 @ 中 发 出 的 请 求 ， 包 括 一 次 性 随机 数 Xi， 目 的 是 使 A 将 收 到 的 应 答 与 发 出 的 
请 求 相 比 较 ， 看 是 否 匹 配 。 

因此 , A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 前 是 否 被 他 人 算 改 , 而 且 A 还 能 根据 
一 次 性 随机 数 相信 自己 收 到 的 应 答 不 是 重 放 的 过 去 的 应 答 。 此 外 ， 消 息 中 还 有 B 希望 得 到 
的 两 项 内 容 : 

i . 一 次 性 会 话 密 钥 Ks。 

ii. A 的 身份 (如 A 的 网 络 地 址 ) IDA。 

这 两 项 由 Ks 加密， 将 由 A 转发 给 B， 以 建立 A、B 之 间 的 连接 并 用 于 向 B 证 明 人 A 的 
身份 。 

@ A 存储 会 话 密 钥 ， 并 向 B 转发 EKs[Ks | IDA]。 因 为 转发 的 是 由 Ks 加 密 后 的 密 文 ， 
所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 ， 可 得 会 话 密 钥 Ks， 并 从 IDA 可知 另 一 方 是 A， 而 且 
还 从 EKs 知道 Ks 的 确 来 自 KDC。 

这 一 步 完 成 后 ， 会 话 密 钥 就 安全 地 分 配给 了 A、B。 然 而 ， 还 能 继续 以 下 两 步 工 作 : 

由 B 用 会 话 密 钥 Ks 加 密 另 一 个 一 次 性 随机 数 Xp， 并 将 加 密 结果 发 送 给 A。 

回 A 以 有 NV;) 作 为 对 B 的 应 答 ， 其 中 是 对 六 进行 某 种 变换 〈 例 如 ,加 1) 的 函数 ， 并 
将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 这 两 步 可 使 B 相信 第 @ 步 收 到 的 消息 不 是 一 个 重 放 。 


机 海王: 二 


18. 什么 是 密 钥 的 分 层 控制 ? 这 种 方法 有 什么 优点 ? 


答 : 把 一 个 大 范 
都 建立 一 个 本 地 密 钥 
他 们 分 配 密 钥 。 如 果 


围 划 分 成 许多 小 范围 ， 在 每 个 小 范围 (如 一 个 LAN 或 一 个 建筑 物 ) 内 
分 配 中 心 KDC。 同 一 范围 的 用 户 在 进行 保密 通信 时 ， 由 本 地 KDC 为 
两 个 不 同 范围 的 用 户 想 获得 共享 密 钥 ， 则 可 通过 各 自 的 本 地 KDC， 而 


两 个 本 地 KDC 的 沟通 又 须 经 过 一 个 全 局 KDC， 这 样 就 建立 了 两 层 KDC。 类 似 地 ， 根 据 网 


络 中 用 户 的 数目 及 分 


布 的 地 域 ， 可 建立 3 层 或 多 层 KDC。 这 种 方法 的 优点 是 : 


(1) 可 减少 主 密 钥 的 分 布 ， 因 为 大 多 数 主 密 钥 是 在 本 地 KDC 和 本 地 用 户 之 间 共 享 的 。 


(2) 分 层 结构 还 


可 将 虚假 KDC 的 危害 限制 到 一 个 局 部 区 域 。 


19. 无 中 心 的 密 钥 分 配 时 ， 两 个 用 户 A 和 B 建立 会 话 密 钥 须 经 过 哪儿 步 ? 


答 : 无 中 心 的 密 
所 示 。 


钥 分 配 时 ， 两 个 用 户 A 和 B 建立 会 话 密 钥 须 经 过 以 下 3 步 ， 如 图 2-3 


Q@ A 向 B 发 出 建立 会 话 密 钥 的 请 求 和 一 个 一 次 性 随机 数 Ni。 
@ B 用 与 A 共享 的 主 密 钥 MK 对 应 答 的 消息 加 密 ， 并 发 送 给 A。 应 答 的 消息 中 有 B 


选取 的 会 话 密 钥 、B 


的 身份 、f (Nn) 和 另 一 个 一 次 性 随机 数 N2。 


@ A 使 用 新 建立 的 会 话 密 钥 Ks 对 了 (Nz) 加 密 后 返回 给 B。 


图 


CD Request||IN, 
@ Ev,lKsllRequest||1Dsl| AN)IIN,] 
® EWMN)] 


2-3 无 中 心 时 A 与 B 建立 一 个 共享 的 一 次 性 会 话 密 钥 过 程 


20. 单 钥 体制 中 的 密 钥 控 制 技术 是 什么 ? 


答 : 密 钥 标 签 和 


控制 矢量 。 


21. 公 钥 管理 机 构 向 用 户 A、B 分 配 公 钥 共有 哪 几 步 ? 


答 : 公 钥 管理 机 


构 向 用 户 A、B 分 配 公 钥 如 图 2-4 所 示 。 


公 钥 管理 机 构 
GD RequestlITime' (® Request||Time, 
D Es [PKsl|Request| Time] 


© Es, [PK, |Request||Time,] 
@ En,lIDAIN] 


图 2-4” 公 钥 管 理 机 构 向 用 户 A、B 分 配 公 钥 


QD 用 户 A 向 公 钥 管理 机 构 发 送 一 个 带 时 间 截 的 消息 ,消息 中 有 获取 用 户 B 的 当前 公 钥 


的 请 求 。 


。54 。 


@ 管理 机 构 对 A 的 请 求 做 出 应 答 , 应答 由 一 个 消息 表示 , 该 消息 由 管理 机 构 用 自己 的 
密 钥 SKAU 加 密 ， 因 此 A 能 用 管理 机 构 的 公开 钥 解 密 ， 并 使 A 相信 这 个 消息 的 确 来 源 于 管 
理 机 构 。 

应 答 的 消息 中 有 以 下 三 项 。 

a. B 的 公 钥 PKs，A 可 用 之 对 将 发 往 B 的 消息 加 密 。 

b. A 的 请 求 ， 用 于 A 验证 收 到 的 应 答 的 确 是 对 相应 请 求 的 应 答 ， 且 还 能 验证 自己 最 初 
发 出 的 请 求 在 被 管理 机 构 收 到 以 前 是 否 被 算 改 。 

c. 最 初 的 时 间 戳 ， 以 使 A 相信 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 ， 因 此 消息 中 的 公 
开 钥 的 确 是 B 当前 的 公 钥 。 

@ A 用 B 的 公开 钥 对 一 个 消息 加 密 后 发 往 B,， 这 个 消息 有 两 个 数据 项 : 一 是 A 的 身份 
JIDA， 二 是 一 个 一 次 性 随机 数 Mi， 用 于 唯一 地 标识 这 次 业务 。 

@@ B 以 相同 的 方式 从 管理 机 构 获 取 A 的 公开 钥 〈 与 步骤 中、@ 类 似 )。 这 时 ，A 和 
B 都 已 安全 地 得 到 了 对 方 的 公 钥 ,所 以 可 进行 保密 通信 。 然 而 , 他们 也 许 还 希望 有 以 下 两 步 ， 
以 认证 对 方 。 

@ B 用 PKA 对 一 个 消息 加 密 后 发 往 A， 该 消息 的 数据 项 有 A 的 一 次 性 随机 数 mm 和 了 B 
产生 的 一 个 一 次 性 随机 数 Ny。 因 为 ， 只 有 B 能 解密 @ 的 消息 ， 所 以 A 收 到 的 消息 中 的 Nm 
可 使 其 相信 通信 的 另 一 方 的 确 是 B。 

@ A 用 B 的 公开 钥 对 ;加 密 后 返回 给 B， 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 


请 自己 设计 一 个 密 钥 生 成 算法 ， 并 验证 其 密 钥 空间 的 安全 性 。 
略 


驶 BB 


23. 在 密 钥 的 生存 期 间 内 ， 如 何 对 密 钥 进行 有 效 的 管理 ? 

答 : 密 钥 的 管理 包括 密 钥 的 分 配 、 控 制 使 用 、 保 护 和 存储 。 

密 钥 分 配 涉 及 密 钥 的 发 送 和 验收 。 前 者 要 求 通过 非常 安全 的 通路 进行 传送 ， 后 者 要 求 
有 一 套 机 制 用 于 检验 分 发 和 传送 的 正确 性 。 网 内 密 钥 分 配 的 方式 有 两 种 : 用 户 之 间 直 接 分 
配 以 及 通过 设立 一 个 密 钥 分 配 中 心 (Key Distribution Center，KDC) 分 配 。 

密 钥 的 控制 使 用 是 为 了 保证 密 钥 按照 预定 的 方式 使 用 ， 控 制 密 钥 使 用 的 信息 有 以 下 几 
项 : 密 钥 主权 人 ; 密 钥 合 法 使 用 期 限 ， 密 钥 标 识 符 ， 密 钥 预 定 用 途 ; 密 钥 预定 算法 ， 密 铀 
预定 使 用 系统 ， 密 钥 授 权 用 户 和 密 钥 生成 、 注 册 、 证 书 等 有 关 实 体 中 的 名 字 等 。 

密 钥 的 保护 和 存储 包括 密 钥 从 产生 到 终结 , 在 整个 生存 期 的 保护 , 一 些 基 本 措施 如 下 。 
密 钥 绝 不 能 以 明文 形式 存放 ; 密 钥 首先 选择 物理 上 最 安全 的 地 方 存放 ; 在 有 些 系统 中 可 以 
使 用 密 钥 碾 碎 技 术 由 一 个 短语 生成 单 密 钥 ， 可 以 将 密 钥 分 开 存放 。 例 如 ， 将 密 钥 平 分 成 两 
段 ， 一段 存 入 终端 ， 一 段 存 入 ROM; 或 者 将 密 钥 分 成 若干 片 ， 分 给 不 同 的 可 信者 保管 。 


24. 销毁 被 撤销 的 密 钥 时 应 注意 什么 ? 
答 : 密 钥 被 奉 换 后 ， 旧 密 钥 必 须 被 销毁 。 旧 密 钥 虽然 不 再 使 用 ， 却 可 以 给 攻击 者 提供 
许多 有 重大 参考 价值 的 信息 ， 为 攻击 者 推测 新 的 密 钥 提供 许多 有 价值 的 信息 。 为 此 ， 必 须 


s。 SS 。 


保证 被 销毁 的 密 钥 不 能 给 任何 人 提供 丝毫 有 价值 的 信息 。 下 面 是 一 些 常用 的 方法 。 
(1) 密 钥 写 在 纸 上 时 ， 要 把 纸张 粉碎 或 烧毁 。 
(2) 密 钥 写 在 EEPROM 中 时 ， 要 对 EEPROM 进行 多 次 重 写 。 
(3) 密 钥 存 在 EPROM 或 PROM 中 时 ， 应 将 EPROM 或 PROM 打 碎 成 小 片 。 
(4) 密 钥 存在 磁盘 中 时 ， 应 当 多 次 重 写 覆 盖 密 钥 的 存储 位 置 ， 或 将 磁盘 切 碎 。 
(5) 要 特别 注意 对 存放 在 多 个 地 方 的 密 钥 的 同时 销毁 。 


. KDC 在 密 钥 分 配 过 程 中 充当 什么 角色 ? 
: (1) 在 对 称 密码 体制 下 ， 是 A、B 双方 共同 信任 的 第 三 方 ， 负 责 分 发 单 密 钥 。 
(2) 在 非 对 称 密码 体制 下 ， 管 理 A、B 双方 的 私 钥 。 


带 忆 


26. 简 述 信息 隐藏 的 基本 嵌入 和 检测 过 程 。 

答 : 信息 隐藏 的 起 源 可 以 追溯 到 古代 的 隐 写 术 ， 这 是 一 种 将 秘密 信息 以 不 可 见 的 形式 
隐藏 于 非 秘密 的 公开 数据 中 ， 而 在 数据 传输 与 存储 的 过 程 中 不 被 外 界 察觉 ， 当 合法 接收 者 
获得 含 密 公 开 数 据 后 ， 按 照 已 约定 的 规则 还 原 原 始 秘密 信息 的 数据 保护 技术 。 这 就 如 同 给 
秘密 信息 涂 上 了 一 层 保护 色 ， 巧 妙 地 将 自己 隐藏 起 来 ， 免 于 被 攻击 者 发 现 导致 遭受 泄密 与 
破坏 。 在 信息 技术 高 度 发 达 的 今天 ， 数 字 信息 与 隐 写 术 相 结合 ， 使 数字 信息 隐藏 成 为 一 门 
全 新 的 技术 。 

实施 信息 隐藏 的 基本 流程 如 图 2-5 所 示 , 秘密 信息 通过 特定 的 密 钥 与 嵌入 算法 的 结合 隐 
藏 到 载体 数据 中 形成 含 密 数 据 ， 而 当 需 要 获取 秘密 信息 时 ， 通 过 特定 密 钥 和 提取 算法 对 含 
密 数据 进行 秘密 信息 的 提取 ， 从 而 得 到 秘密 信息 。 


嵌入 密 钥 


1 1 
(载体 数据 ) 一 = 窗 角 ”) 一 《名 客 效 据 ) 一 (提取 ”) 
1 


图 2-5 实施 信息 隐藏 的 基本 流程 


27. 简 述 数字 水 印 的 定义 和 内 容 。 

答 : 数字 水 印 (digital watermarking) 指 把 一 些 标识 信息 〈 即 数字 水 印 ) 直接 嵌入 数字 
载体 中 〈 包 括 多 媒体 、 文 档 、 软 件 等 ) 或 是 间接 表示 修改 特定 区 域 的 结构 )， 且 不 影响 原 
载体 的 使 用 价值 ， 也 不 容易 被 探知 和 再 次 修改 。 数 字 水 印 可 以 被 生产 方 识别 和 辨认 ， 通 过 
隐藏 在 载体 中 的 信息 ， 可 以 达到 确认 内 容 创 建 者 、 购 买 者 、 传 送 隐秘 信息 或 者 判断 载体 是 
和 否 被 算 改 等 目的 。 数 字 水 印 是 保护 信息 安全 、 实 现 防伪 渊源 、 版 权 保 护 的 有 效 办 法 ， 是 信 
息 隐 藏 技 术 研究 领域 的 重要 分 支 和 研究 方向 。 

数字 水 印 技术 是 从 信息 隐藏 技术 发 展 而 来 的 ， 是 数字 信号 处 理 、 图 像 处理 、 密 码 学 应 
用 、 算 法 设计 等 学 科 的 交叉 领域 。 数 字 水 印 最 早 在 1993 年 由 Tirkel 等 人 提出 ， 在 国际 学 术 
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会 议 上 发 表 题 为 Electronic Watermark 的 第 一 篇 有 关 水 印 的 文章 ， 提 出 了 数字 水 印 的 概念 及 

可 能 的 应 用 ， 并 针对 灰 度 图 像 提 出 了 两 种 向 图 像 最 低 有 效 位 中 嵌入 水 印 的 算法 。1996 年 ， 

在 英国 剑桥 牛顿 研究 所 召开 了 第 一 届 国 际 信息 隐藏 学 术 研 讨 会 ， 标 志 着 信息 隐藏 学 的 诞生 。 
数字 水 印 技术 基本 上 具有 下 面 四 个 方面 的 特点 。 

(1) 安全 性 : 数字 水 印 的 信息 应 是 安全 的 ， 难 以 算 改 或 伪造 ， 同 时 ， 应 当 有 较 低 的 误 
检测 率 ， 当 原 内 容 发 生变 化 时 ， 数 字 水 印 应 当 发 生变 化 ， 从 而 可 以 检测 原始 数据 的 变更 ; 
当然 ， 数 字 水 印 同样 对 重复 添加 有 很 强 的 抵抗 性 。 

(2) 隐蔽 性 ， 数字 水 印 应 是 不 可 知觉 的 ， 而 且 应 不 影响 被 保护 数据 的 正常 使 用 ;不 会 
降 质 。 

(3) 鲁 棒 性 : 是 指 在 经 历 多 种 无 意 或 有 意 的 信号 处 理 过 程 后， 数字 水 印 仍 能 保持 部 分 
完整 性 并 能 被 准确 鉴别 。 可 能 的 信号 处 理 过 程 包括 信道 噪声 、 滤 波 、 数 / 模 与 模 / 数 转换 、 重 
采样 、 剪 切 、 位 移 、 尺 度 变 化 以 及 有 损 压 缩编 码 等 。 

(4) 嵌入 容量 (embedding capacity): 是 指 载体 在 不 发 生 形变 的 前 提 下 可 嵌入 的 水 印信 
息 量 ， 尤 其 是 隐蔽 通信 和 领域 的 特殊 性 ， 对 水 印 的 容量 需求 很 大 。 

水 印 算法 是 将 信息 嵌入 到 随机 选择 的 图 像 点 中 最 不 重要 的 像素 位 〈least significant bits， 
LSB) 上 ， 这 可 保证 嵌入 的 水 印 是 不 可 见 的 。 但 是 ， 由 于 使 用 了 图 像 不 重要 的 像素 位 ， 算 法 
的 鲁 棒 性 差 ， 水 印信 息 很 容易 被 滤波 、 图 像 量 化 、 几 何 变 形 的 操作 破坏 。 另 外 一 个 常用 的 
方法 是 利用 像素 的 统计 特征 将 信息 嵌入 像素 的 亮度 值 中 。 

大 部 分 水 印 算 法 都 采用 了 扩展 频谱 通信 (spread spectrum communication) 技术 。 算 法 
实现 过 程 为 ， 先 计算 图 像 的 离散 余弦 变换 (DCT)， 然 后 将 水 印 闭 加 到 DCT 域 中 幅 值 最 大 
的 前 系数 上 (不 包括 直流 分 量 ), 通常 为 图 像 的 低频 分 量 。 若 DCT 系数 的 前 大 个 最 大 分 量 
表示 为 D-i， 关 1，2，…， 态 水 印 是 服从 高 斯 分 布 的 随机 实数 序列 不 = 二 1]，2，…，k， 
那么 水 印 的 嵌入 算法 为 di= di(1 + awi)， 其 中 常数 a 为 尺度 因子 ， 控 制 水 印 添加 的 强度 。 然 
后 用 新 的 系数 作 反 变换 得 到 水 印 图 像 I。 解 码 函 数 则 分 别 计算 原始 图 像 I 和 水 印 图 像 * 的 离 
散 余弦 变换 ， 并 提取 嵌入 的 水 印 W*， 再 做 相关 检验 ， 以 确定 水 印 是 否 存在 。 该 方法 即使 当 
水 印 图 像 经 过 一 些 通用 的 几何 变形 和 信和 号 处 理 操作 而 产生 比较 明显 的 变形 后 ， 仍 然 能 够 提 
取出 一 个 可 信赖 的 水 印 副 本 。 一 个 简单 的 改进 是 不 将 水 印 嵌 入 到 DCT 域 的 低频 分 量 上 ， 而 
是 嵌入 到 中 频 分 量 上 ， 以 调节 水 印 的 顽 健 性 与 不 可 见 性 之 间 的 矛盾 。 另 外 ， 还 可 以 将 数字 
图 像 的 空间 域 数据 通过 离散 傅 里 叶 变 换 (DFT) 或 离散 小 波 变换 (DWT) 转换 为 相应 的 频 
域 系数 ， 其 次 ， 根 据 待 隐藏 的 信息 类 型 ， 对 其 进行 适当 编码 或 变形 ; 再次， 根据 隐 藏 信息 
量 的 大 小 和 其 相应 的 安全 目标 选择 某 些 类 型 的 频 域 系数 序列 〈 如 高 频 或 中 频 ， 或 低频 ); 再 
次 ， 确 定 某 种 规则 或 算法 ， 用 待 隐藏 的 信息 的 相应 数据 修改 前 面 选 定 的 频 域 系数 序列 ， 最 
后 ， 将 数字 图 像 的 频 域 系 数 经 相应 的 反 变 换 转换 为 空间 域 数据 。 该 类 算法 的 隐藏 和 提取 信 
息 操 作 复杂 ， 隐 藏 信息 量 不 能 很 大 ， 但 抗 攻击 能 力 强 ， 很 适合 数字 作品 版 权 保护 的 数字 水 
印 技术 。 
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28. 简 述 数字 隐藏 技术 中 隐 含 的 信任 关系 。 
答 : 每 个 用 户 间 不 直接 建立 信任 关系 ， 而 是 通过 上 层 数字 中 心 与 中 心 之 间 建 立信 任 
关系 。 


29. 收集 国内 外 有 关 加 密 或 信息 隐藏 技术 的 最 新 动态 。 
答 : 信息 隐藏 是 指 在 设计 和 确定 模块 时 ， 使 得 一 个 模块 内 包含 的 特定 信息 过 程 或 数 
据 ) 对 于 不 需要 这 些 信息 的 其 他 模块 来 说 是 不 可 访问 的 。 


30. 分 析 消息 认证 码 可 能 遭受 的 攻击 。 

答 : 消息 认证 码 保证 了 传输 数据 的 完整 性 ， 但 却 不 能 保证 真实 性 。 对 于 通信 双方 A 和 
B，B 可 以 通过 伪造 MAC 地 址 ， 或 者 宣称 收 到 由 A 发 来 的 消息 ， 实 际 是 伪造 的 消息 来 实施 
诈骗 等 非 授权 行为 。 


31. 数字 签名 有 什么 作用 ? 
答 : 数字 签名 的 作用 是 确认 数据 单元 来 源 和 数据 单元 的 完整 性 ， 并 保护 数据 ， 防 止 被 
人 进行 伪造 。 


32. 描述 报 文 鉴别 码 和 杂凑 码 的 区 别 。 

答 : 杂 凌 码 也 称 哈 希 码 ， 是 通过 哈 希 函数 将 一 个 任意 长 度 的 消息 压缩 到 一 个 固定 长 度 
的 码 ， 这 个 码 就 称 为 哈 希 码 。 

报 文 鉴别 码 是 指 鉴别 数据 的 一 个 码 , 它 的 作用 是 防 自 改 和 保密 数据 , 它 可 以 是 杂凑 码 ， 
也 可 以 是 由 其 他 算法 产生 的 码 。 


33. 简 述 数字 签名 的 用 途 和 基本 流程 。 

答 : 在 日 常生 活 中 ， 为 了 确认 一 件 作品 及 其 出 处 ， 常 采用 签名 、 骑 缝 、 盖 章 等 手段 ， 
以 便于 鉴别 。 在 数字 通信 中 也 需要 做 同样 的 工作 。 

在 数字 通信 中 ， 也 会 发 生 一 方 对 另 一 方 的 欺骗 行为 ， 如 否认 : 发 送 方 否认 自己 发 送 过 
某 个 报 文 ， 或 接收 方 接收 某 个 报 文 后 否认 接收 过 。 


34. 什么 是 数字 签名 ? 什么 是 消息 认证 ? 

答 : 在 ISO 7498-2 标准 中 ， 数 字 签 名 定义 为 : 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 
数据 单元 所 做 的 密码 变换 ， 这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 
和 数据 单元 的 完整 性 ， 并 保护 数据 ， 防 止 被 恶意 进行 伪造 。 

消息 认证 也 称 报 文 鉴别 ， 是 检测 传输 和 存储 的 消息 〈 报 文 ) 有 无 受到 完整 性 攻击 的 手 
段 ， 它 包括 了 消息 内 容 认证 〈 即 消息 完整 性 认证 )、 消 息 的 序列 认证 和 操作 时 间 认 证 等 。 其 
核心 是 消息 〈 报 文 ) 的 内 容 认 证 。 


35. 美国 数字 签名 标准 (Digital Signature Standard，DSS ) 方案 (图 2-6) 的 具体 内 容 是 
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| 大 。 | 厅 yq 8 
加 上 
Pl x 9 gq | 
1 : | 一 
2 
r 一 | 太 
M -| fh Ps 
~ H 一 | 
上 较 
STM)xv,GJF(C CNCN)Hxr))mod9 w=f(s,g)(s) mod g 
p(kp,qg)-(g'mod pmod gq vf,g,8. HM' ) wr') 
=((g(H(M' )w)mod g yrwmod qmod pjmod 9 
(a) 签名 (b) 验证 


图 2-6 美国 数字 签名 标准 方案 


美国 数字 签名 标准 方案 如 图 2-6 所 示 。 

(1) DSS 算法 参数 说 明 。 

DSS 算法 中 应 用 了 下 述 参 数 ， 

: 工 bits 长 的 素数 。 工 是 64 的 倍数 ， 范 围 是 S12 一 1024。 

一 1 的 160bits 的 素 因子 。 

: se 1)/g modp， hh 满足 h<p-1,hp-l)/q modp>1。 
:x< gy 为 私 钥 。 

: y=gXxmodp，(p,9,8,3) 为 公 钥 。 

HH(x): 单 向 Hash 函数 。 在 DSS 中 选用 安全 散 列 算法 (secure hash algorithm，SHA)。 
p, 49,8: 可 由 一 组 用 户 共 享 ， 但 在 实际 应 用 中 ， 使 用 公共 模 数 可 能 会 带 来 一 定 的 威胁 。 
(2) 签名 及 验证 协议 。 

签名 及 验证 协议 如 下 : 

QP 产生 随机 数 k，k<g。 

@P 计 算 r=(gkmodp)modg 和 s=(k-1 (HM)+xr)) mod gqg。 
M 是 消息 ， 签 名 结果 是 (Ms)。 

@ 验证 时 ， 假 设 收 到 的 信息 为 (Mr2s') 

计算 w=s'-1modg 

计算 ul=(HM')xw)modg 

计算 uw2=(r'xw)modg 

计算 v=((gul *yu2)modp)modg 

车 v=r'， 则 认为 签名 有 效 。 
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36. 要 将 明文 M 由 41 并 附 有 41、42、…、4i、…、An 的 依次 签名 发 往 B。 设 PKAi 
和 SKAi 分 别 为 4i 的 公开 密 钥 和 私有 密 钥 ， 在 签名 时 要 求 每 一 位 签名 者 只 验证 其 前 一 位 签 
名 者 的 签名 ;如果 验证 通过 ， 则 在 此 基础 上 加 上 自己 的 签名 ， 和 否则 终止 签名 ; 最 后 一 位 签 
名 者 在 签名 完成 后 将 最 终 信息 和 签名 一 起 发 送出 去 。 每 一 位 签名 者 都 可 以 推算 出 前 一 位 签 
名 者 和 后 一 位 签名 者 并 且 知 道 他 们 的 公开 密 钥 。 试 设计 该 多 人 签名 算法 。 

答 : 略 


37. 查阅 相关 资料 ， 比 较 各 种 数字 签名 算法 的 优 缺 点 。 

答 : 数字 签名 算法 有 RSA、 椭 圆 曲线 等 公 钥 密码 (ECC) 算法 。 

RSA 数字 签名 的 算法 优点 是 简单 、 实 用 、 强 度 高 、 不 易 被 破解 ， 其 缺点 是 慢 、 密 钥 太 
大 、 每 次 加 密 块 比较 小 。 

椭圆 曲线 公 钥 系统 (ECC) 是 代替 RSA 的 强 有 力 的 竞争 者 。 椭 圆 曲 线 数 字 签 名 与 RSA 
方法 相 比 ， 有 以 下 优点 : 

(1) 安全 性 能 更 高 。 如 160 位 ECC 与 1024 位 RSA 有 相同 的 安全 强度 。 

(2) 计算 量 小 ， 处 理 速 度 快 。 在 私 钥 的 处 理 速 度 上 解密 和 签名 )，ECC 远 比 RSA、 
DSA 快 得 多 。 

(3) 存储 空间 占用 小 。ECC 的 密 钥 尺寸 和 系统 参数 与 RSA、DSA 相 比 要 小 得 多 ， 所 以 
占用 的 存储 空间 小 得 多 。 

(4) 带宽 要 求 低 使 得 ECC 具有 广泛 的 应 用 前 景 。 


38. 可 信 第 三 方 有 什么 作用 ? 
答 : 仲裁 判决 。 


39. 简 述 一 个 成 功 的 SET 交易 的 标准 流程 。 

答 : SET 是 Secure Electric Transaction 的 缩写 ， 指 安全 电子 交易 。 一 个 成 功 的 SET 标准 
流程 为 : 四 订货 ， 消 费 者 上 网 ， 查 看 商品 并 提交 给 商家 ;，@ 支 付 ， 商 家 核对 订货 单 ， 向 用 
户 发 出 支付 通知 ， 向 银行 发 出 转账 请 求 ; 图 转账 ， 发 卡 机 构 验证 消费 者 的 支付 卡 后 ， 将 卡 
号 加 密 传 向 支付 网 关 ， 银 行 审查 消费 者 支付 卡 合格 后 进行 转账 ， 转 账 成 功 后 ， 支 付 网 关 向 
商家 和 发 卡 机 构 发 出 转账 成 功 回执 ， 发 卡 机 构 向 消费 者 发 出 支付 收据 ，@ 付 货 ， 商 家 向 消 
费 者 付 货 。 


40. 电子 支付 中 有 哪些 安全 需求 ? 
答 : 一 是 交易 双方 信息 和 交易 环境 的 安全 需求 ， 二 是 如 何 保证 交易 的 真实 可 靠 性 ， 包 
括 可 能 存在 的 窃听 、 算 改 交易 者 个 人 及 资金 信息 等 。 


41. SET〈 安 全 电子 交易 ) 中 有 哪些 关键 技术 ? 
答 : 数字 信封 、 数 字 签名 、 双 重 签名 等 。 
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第 3 章 身份 认证 与 访问 控制 
3 第 3 章 知识 提要 


本 章 主要 介绍 了 身份 认证 和 数字 签名 ， 基 于 生物 特征 、 静 态 口令 、 动 态 口令 、 密 钥 分 
发 、 数 字 证 书 的 身份 认证 ， 以 及 采用 非 对 称 密码 体制 的 数字 签名 。 为 了 保证 消息 的 完整 性 ， 
还 需要 采用 消息 认证 或 报 文摘 要 法 。 常 见 的 国际 数字 证 书 标准 X.509 以 及 以 公开 密 钥 加 密 
法 为 中 心 的 密 钥 管理 体系 结构 PKI、Kerberos 体制 的 数字 认证 , 为 了 对 合法 用 户 进行 权限 划 
分 ， 还 介绍 了 自主 、 强 制 、 基 于 角色 的 访问 控制 策略 。 从 访问 者 的 角度 把 系统 分 为 主体 和 
客体 两 部 分 ， 涉 及 访问 控制 矩阵 、 授 权 关系 表 、 访 问 能 力 表 、 访 问 控制 表 等 形式 。 


3.2 第 3 章 习 题 和 答案 详解 


一 、 选 择 题 (答案 : BBCCADADBADACB) 


1. 用 数字 办 法 确认 、 鉴 定 、 认 证 网 络 上 参与 信息 交流 者 或 服务 器 的 身份 是 指 。 
A. 接 入 控制 
B. 数字 认证 
C. 数字 签名 
D. 防火 增 
答案 : B 


解答 : 只 有 B 的 定义 与 题 中 的 描述 相符 。 


2. 身份 鉴别 是 安全 服务 中 的 重要 一 环 , 以 下 关于 身份 鉴别 的 叙述 中 , 不 正确 的 是 
A. 身份 鉴别 是 授权 控制 的 基础 
B. 身份 鉴别 一 般 不 用 提供 双向 的 认证 
C. 目前 一 般 采 用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 
D. 数字 签名 机 制 是 实现 身份 鉴别 的 重要 机 制 


解答 : 身份 鉴别 包括 采用 双向 认证 的 方法 ， 因 此 选择 B。 


3. 以 下 关于 CA 认证 中 心 说 法 正确 的 是 s 
A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 
B. CA 认证 中 心 只 负责 签名 ， 不 负责 证 书 的 产生 
C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 ， 并 依靠 证 书证 明 一 个 用 户 的 身份 
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D. CA 认证 中 心 不 用 保持 中 立 ， 可 以 随便 找 一 个 用 户 作 为 CA 认证 中 心 


答案 : 
解答 : CA〈 认 证 中 心 ) 负责 证 书 的 颁发 和 管理 ， 并 依靠 证 书证 明 一 个 用 户 的 身份 。 


4. Kerberos 的 设计 目标 不 包括 。 
A. 认证 
B. 授权 
C. 记 账 
D. 审计 


解答 : Kerberos 的 设计 目标 不 包括 记 账 。 


An 


. 访问 控制 是 指 确定 以 及 实施 访问 权限 的 过 程 。 
A. 用 户 权 限 

B. 可 给 予 哪些 主体 访问 权利 

C. 可 被 用 户 访问 的 资源 

D. 系统 是 否 遭 受 入 侵 


噶 
洪 


解答 : 访问 控制 是 指 确 定 用 户 权 限 以 及 实施 访问 权限 的 过 程 。 


6. 下 列 对 访问 控制 影响 不 大 的 是 
A. 主体 身份 
B. 客体 身份 
C. 访问 类 型 
D. 主体 与 客体 的 类 型 


解答 : 对 访问 控制 影响 不 大 的 是 主体 与 客体 的 类 型 。 


7. 为 了 简化 管理 ， 通 常 对 访问 者 ， 以 避免 访问 控制 表 过 于 庞大 。 
A. 分 类 组 织 成 组 

. 严格 限制 数量 

. 按 访问 时 间 排 序 ， 删 除 长 期 没有 访问 的 用 户 

- 不 作 任何 限制 


器 


= 二 


解答 : 为 了 简化 管理 ， 通 常 对 访问 者 分 类 组 织 成 组 ， 以 避免 访问 控制 表 过 于 庞大 。 


8. PKI 支 持 的 服务 不 包括 5 
A. 非 对 称 密 钥 技术 及 证 书 管 理 
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B. 目录 服务 
C. 对 称 密 钥 的 产生 和 分 发 
D. 访问 控制 服务 


解答 : PKI 服 务 不 包括 访问 控制 。 


9. PKI 的 主要 组 成 不 包括 。 
A. 证 书 授权 CA 
B. SSL 
C. 注册 授权 RA 
D. 证 书 存储 库 CR 


解答 : PKI 的 主要 组 成 不 包括 SSL。 


10. PKI 管 理 对 象 不 包括 。 
A. ID 和 口令 
B. 证 书 
C. 密 钥 
D. 证 书 撤销 


解答 ， PKI 管 理 对 象 不 包括 ID 和 口令 。 


11. 下 面 不 属于 PKI 组 成 部 分 的 是 


A. 证 书 主 体 

B. 使 用 证 书 的 应 用 和 系统 
C. 证 书 权威 机 构 

D. AS 


器 


> 


答案 : D 


解答 : PKI 的 组 成 部 分 包括 政策 批准 结构 (Policy Acception Authority，PAA)， 政 策 认证 机 
构 (Policy Certification Authority，PCA)， 认 证 机 构 (Certification Authority，CA)， 


在 线 注册 机 构 (Online Registration Authority，ORA)， 不 包括 AS。 


12. PKI 能 够 执行 的 功能 是 和 
A. 鉴别 计算 机 消息 的 始 发 者 
B. 确认 计算 机 的 物理 位 置 
C. 保守 消息 的 机 密 
D. 确认 用 户 具有 的 安全 性 特权 


答案 : AC 
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解答 : PKI 能 够 执行 的 功能 是 鉴别 计算 机 消息 的 始 发 者 和 保守 消息 的 机 密 。 


13. PKI 的 主要 理论 基础 是 
A. 对 称 密码 算法 
B. 公 钥 密码 算法 
C. 量子 密码 
D. 摘要 算法 


解答 : PKI 的 主要 理论 基础 是 公 钥 密码 算法 。 
、 填 空 题 


答案 : 1. 身份 认证 ， 信 源 ， 信 宿 
2. 访问 控制 ， 访 问 权 限 
3. 数字 证 书 ， 认 证 中 心 
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1. 身份 认证 是 验证 信息 发 送 者 是 真 的， 而 不 是 冒充 的 ， 包 括 信 源 、 信 宿 等 的 认证 和 识别 。 
2. 访问 控制 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 访问 权限 。 
3. 数字 证 书 是 PKI 的 核心 元 素 ， 认证 中 心 是 PKI 的 核心 执行 者 。 
三 、 问 答题 
1. 简 述 生物 特征 身份 认证 的 发 展 趋势 。 
答 : 提高 生物 特征 识别 的 精确 性 和 可 靠 性 是 未 来 的 发 展 趋势 。 


2. 简 述 口令 可 能 会 遭受 哪些 攻击 。 

答 : 攻击 口令 的 方式 多 种 多 样 ， 常 见 的 有 以 下 4 种 。 
(1) 社会 工程 学 。 

(2) 暴力 破解 。 

(3) 弱 口 令 扫描 。 

(4) 密码 监听 。 


3. 假定 只 允许 使 用 26 个 字母 构造 口令 ， 在 下 列 情况 下 各 可 以 构造 出 多 少 条 口令 ? 
(1) 口令 最 多 可 以 使 用 个 字符 ，n = 4，6，8， 不 区 分 大 小 写 。 
(2) 口令 最 多 可 以 使 用 n 个 字符 ,n=4，6，8， 区 分 大 小 写 。 
答 : (1) 分 别 是 26 的 4 次 方 ，26 的 6 次 方 ，26 的 8 次 方 。 
(2) 分 别 是 52 的 4 次 方 ，52 的 6 次 方 ，52 的 8 次 方 。 


4. 编写 一 个 口令 生成 程序 。 程 序 以 长 度 s (可 以 取 s=8，16，32，64) 的 随机 二 进 制 种 
子 作为 输入 。 
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(1) 让 多 名 用 户 使 用 你 的 程序 生成 口令 ， 记 录 有 多 少 人 选择 了 相同 的 事件 。 

(2) 生成 一 个 口令 并 加 密 ， 然 后 让 人 通过 尝试 随机 数 种 子 的 所 有 值 进行 口令 攻击 。 习 
先 要 给 定 一 个 猜测 次 数 的 期 望 值 。 

答 : 略 


J 
二 


5. 略 


6. 比较 动态 口令 的 3 种 实现 方式 。 

答 : 短信 密码 、 软 件 令 牌 、 硬 件 令 牌 。 短 信 密 码 是 通过 手机 短信 形式 发 送 6 位 或 更 多 
随机 数 的 动态 口令 。 软 件 令 牌 是 通过 软件 生成 随机 密码 。 硬 件 令 牌 每 60s 变换 一 次 动态 
口令 。 


7. 比较 静态 口令 与 动态 口令 。 
答 : 静态 口令 不 随时 间 变化 ， 动 态 口令 随时 间 而 变化 。 


8. 常用 动态 令 牌 有 哪儿 种 ? 
答 : (1) 短信 密码 。 

(2) 手机 令 牌 。 

(3) 硬件 令 牌 。 

(4) 软件 令 牌 。 


9. 在 身份 验证 中 ， 可 能 会 遇 到 重 放 攻击 。 重 放 具 有 如 下 几 种 形式 : 

(1) 简单 的 重 放 : 攻击 者 简单 地 复制 信息 ， 经 过 一 段 时 间 后 ， 再 重 放 原来 的 信息 。 

(2) 重 放 不 能 被 检测 到 : 这 时 ， 原 始 的 信息 不 能 到 达 ， 只 有 重 放 信息 到 达 目 的 地 。 

(3) 没有 定义 的 重 放 返回 发 送 者 这 时 很 难 确定 是 发 送信 息 ， 还 是 接收 信息 。 

如 何 确定 信息 是 否 是 重 放 的 信息 ? 

答 : 重 放 (replay) 攻击 是 指 在 消息 没有 时 间 戳 的 情况 下 ， 攻 击 者 利用 身份 认证 机 制 中 
的 漏洞 先 把 别人 有 用 的 消息 记录 下 来 ， 过 一 段 时 间 后 再 发 送出 去 。 

如 果 在 发 送信 息 中 加 上 时 间 惟 ， 就 可 以 有 效 检测 信息 是 否 是 重 放 信息 。 


10. 如 何 保护 IC 卡 的 安全 ? 

答 : 对 于 IC 卡 ， 常 用 的 攻击 行为 有 以 下 3 种 。 

(1) 截取 信道 中 的 信息 : 通过 非法 设备 以 及 相关 技术 手段 读 取 IC 卡 中 存储 的 数据 信 
息 以 及 在 IC 卡 与 读 卡 器 进行 操作 时 截取 数据 交换 信息 。 

(2) 破译 IC 卡 中 的 信息 : 攻击 者 采用 上 述 两 种 方式 截获 数据 信息 后 ， 根 据 IC 卡 中 
数据 信息 的 变化 情况 以 及 数据 交换 过 程 中 数据 流 的 变化 对 数据 进行 分 析 ， 从 而 确认 IC 卡 
中 所 有 数据 的 含义 以 及 数据 流 的 变化 规则 ， 完 成 对 IC 卡 中 数据 信息 的 破译 ， 进 而 达到 非 
法 改变 数据 信息 的 目的 。 
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(3) 复制 IC 卡 中 的 数据 信息 : 攻击 者 在 截获 数据 信息 后 ， 并 不 对 数据 进行 分 析 破 译 ， 
而 是 记录 在 特定 操作 中 数据 流 的 变化 情况 ， 在 需要 时 将 记录 的 数据 流 直接 复制 发 送 到 IC 
卡 ， 从 而 达到 非法 改变 数据 信息 的 目的 。 这 种 情况 经 常 发 生 在 当 IC 卡 与 读 卡 器 之 间 进 行 
数据 交换 采用 加 密 处 理 的 时 候 。 

在 上 述 描述 的 攻击 方法 中 ， 第 一 种 方式 是 手段 ， 由 于 IC 卡 是 由 用 户 掌握 和 使 用 的 ， 管 
理 方 无 法 实现 实时 跟踪 ， 因 此 在 现实 中 是 无 法 阻止 攻击 者 进行 这 种 尝试 的 。 第 二 、 三 种 方 
式 是 数据 分 析 处 理 ， 是 攻击 的 目的 所 在 。 为 此 ， 在 设计 IC 卡 及 其 相关 管理 系统 时 ， 必 须 
对 数据 的 安全 性 给 予 高 度 重 视 ， 从 某 种 角度 来 说 ， 一 个 IC 卡 系统 设计 是 否 成 功 ， 关 键 在 于 
其 对 数据 安全 性 的 处 理 。 在 IC 卡 及 系统 中 使 用 的 都 是 集成 电路 卡 〈IC 卡 )， 集 成 电路 卡 
的 核心 是 采用 集成 电路 芯片 进行 数据 的 存储 。 目 前 广泛 使 用 的 IC 卡 使 用 的 是 电 可 擦 除数 
据 存储 芯片 (EEPROM)7， 这 种 芯片 读 写 速度 快 ， 掉 电 后 数据 可 以 长 期 保存 ， 并 且 数 据 可 以 
反复 进行 擦 写 。IC 卡 根据 对 EEPROM 读 写 处 理 方式 的 不 同 ， 可 以 分 为 存储 卡 、 罗 辑 加 密 
卡 以 及 智能 卡 〈CPU 卡 ) 三 大 类 ， 它 们 具有 不 同 的 数据 保护 安全 级 别 。 

其 中 ， 存 储 卡 是 直接 将 EEPROM 芯片 封装 在 卡片 上 ， 外 部 设备 可 以 直接 访问 到 
EEPROM 中 的 任何 一 个 单元 。 由 于 存储 卡 中 只 有 EEPROM 一 个 芯片 ， 因 此 IC 卡 的 对 外 
接口 实际 上 就 是 EEPROM 的 对 外 接口 ， 这 样 ， 外 部 读 写 设备 就 可 以 十 分 方便 地 对 
EEPROM 进行 数据 读 写 操作 ， 作 为 IC 卡 而 言 ， 无 法 对 合法 或 非法 的 读 写 设备 进行 判断 和 
识别 ， 非 常 容易 进行 攻击 。 存 储 卡 只 是 用 来 对 数据 进行 存储 ， 而 无 法 对 数据 进行 安全 性 保 
护 ， 因 此 存储 卡 不 具备 数据 安全 性 保护 措施 ， 数 据 安全 级 别 很 低 。 

而 逻辑 加 密 卡 是 在 将 EEPROM 芯片 封装 在 卡片 上 的 同时 ， 将 一 组 硬件 逻辑 电路 也 封 
装 在 卡片 上 ， 外 部 读 写 设备 必须 通过 硬件 逻辑 电路 的 判断 后 ， 才 能 访问 到 EEPROM 中 的 
任何 一 个 单元 。 由 于 在 IC 卡 中 存在 一 组 硬件 逻辑 加 密 电路 ，EEPROM 芯片 的 接口 并 不 直 
接 对 外 ， 在 初始 状态 ，IC 卡 芯片 中 的 数据 开关 处 于 断 开 状态 。 外 部 读 写 设备 在 访问 IC 卡 
芯片 中 的 EEPROM 单元 之 前 ， 必 须 首先 发 一 组 数据 给 硬件 逻辑 电路 ， 硬 件 逻 辑 电路 在 判 
断 数据 的 合法 性 后 〈 即 密码 校 验 )， 才 决定 是 否 将 IC 卡 内 的 开关 闭合 。 只 有 密码 校 验 正确 
后 ， 硬 件 迪 辑 电 路 才能 将 开关 闭合 ， 这 时 外 部 读 写 设备 才能 对 EEPROM 中 的 数据 进行 读 
写 操作 ， 这 样 逻辑 加 密 卡 就 可 以 对 外 部 合法 和 非法 的 读 写 设备 进行 识别 判断 。 通 过 这 种 方 
式 ， 迪 辑 加 密 卡 对 内 部 EEPROM 中 的 数据 进行 了 安全 性 保护 ， 因 此 逻辑 加 密 卡 具备 数据 
安全 性 保护 措施 。 但 逻辑 加 密 卡 的 安全 性 级 别 并 不 是 很 高 ， 有 两 种 攻击 方式 可 以 对 其 进行 
攻击 测试 : 一 种 是 当 合 法 读 写 设备 在 发 送 数 据 进 行 密码 校 验 时 ， 非 法 设备 可 以 跟踪 到 校 验 
密码 ， 这 样 ， 今 后 非法 设备 通过 重 放 也 可 以 通过 密码 校 验 ， 从 而 对 逻辑 加 密 卡 进行 数据 攻 
击 ; 另 一 种 方法 是 非法 设备 在 跟踪 到 合法 设备 已 经 通过 逻辑 加 密 卡 的 密码 校 验 ，IC 卡 内 部 
开关 闭合 后 ， 再 通过 数据 线 对 逻辑 加 密 卡 中 EEPROM 的 数据 进行 攻击 破坏 。 因 此 ， 风 辑 
加 密 卡 虽然 具备 一 定 的 数据 安全 性 保护 ， 但 它 的 安全 级 别 依然 较 低 。 

所 以 ， 要 保证 IC 卡 的 安全 性 ， 须 采用 智能 卡 (CPU 卡 )。 智 能 卡 是 在 将 EEPROM 芯 
片 封装 在 卡片 上 的 同时 ， 将 微 处 理 器 (CPU) 芯片 也 封装 在 卡片 上 ， 外 部 读 写 设 备 只 能 通 
过 CPU 与 IC 卡 内 的 EEPROM 进行 数据 交换 , 在 任何 情况 下 都 不 能 再 访问 到 EEPROM 
中 的 任何 一 个 单元 。 由 于 在 智能 卡 中 封装 了 微 处 理 器 芯片 ， 这 样 ，EEPROM 的 数据 接口 在 


s。 6060。 


任何 情况 下 都 不 会 与 IC 卡 的 对 外 数据 线 连接 。 外 部 读 写 设备 在 与 智能 卡 进行 数据 交换 时 ， 
首先 必须 发 指令 给 CPU， 由 CPU 根据 其 内 部 ROM 中 存储 的 卡片 操作 系统 (COS) 对 指 
令 进行 解释 ， 并 进行 分 析 判 断 ， 在 确认 读 写 设备 的 合法 性 后 ， 允 许 外 部 读 写 设备 与 智能 卡 
建立 连接 。 之 后 的 数据 操作 仍然 要 由 外 部 读 写 设备 发 出 相应 的 指令 ， 并 且 CPU 对 指令 进 
行 正 确 解 释 后 ， 允 许 外 部 读 写 设备 和 智能 卡 中 的 数据 存储 区 (RAM) 进行 数据 交换 ， 数 据 
交换 成 功 后 ， 在 CPU 的 控制 下 利用 智能 卡 中 的 内 部 数据 总 线 ， 再 将 内 部 RAM 中 的 数据 
与 EEPROM 中 的 数据 进行 交换 。 可 以 看 到 , 在 数据 处 理 过 程 中 , 外 部 读 写 设备 只 是 和 CPU 
打交道 ， 同 时 数据 交换 也 只 能 和 数据 缓存 区 RAM 进行 ， 根 本 无 法 实现 对 智能 卡 中 
EEPROM 数据 的 直接 访问 ， 这 样 就 实现 了 对 智能 卡 EEPROM 中 数据 的 安全 保护 。 由 于 智 
能 卡 内 部 具有 CPU 芯片 ， 在 具有 数据 判断 能 力 的 同时 ， 也 具备 了 数据 分 析 处 理 能 力 ， 因 
此 智能 卡 可 以 随时 区 别 合 法 和 非法 读 写 设备 ， 并 且 由 于 有 了 CPU 芯片 ， 具 备 数 据 运 算 能 
力 ， 还 可 以 对 数据 进行 加 密 解密 处 理 ， 因 此 具备 非常 高 的 安全 性 ， 其 安全 级 别 很 高 。 
因此 ， 为 了 保护 IC 卡 的 安全 ， 应 尽量 选用 智能 卡 作为 IC 卡 系统 的 信息 传递 的 介质 。 


11. 请 画 出 带 有 时 间 戳 的 基于 秘密 密 钥 的 身份 验证 过 程 。 
答 : Kerberos 身份 验证 过 程 如 图 3-1 所 示 。 


Kerberos 系 统 


到 
@ 
图 3-1 Kerberos 身份 验证 过 程 


(1) 认证 服务 交换 ， 用 户 从 AS 取得 入 场 券 。 
@ 客户 向 AS 发 出 访问 TGS 请 求 (用 TS; 表示 新 请 求 ): 
C—AS: Exc[lIDcllIDrosl|TS1] 
@ AS 向 C 发 出 应 答 : 
AS—C: Exc[Ke,TGSIIDreslTS,llLifetime,l| Ticketras] 


服务 器 V 


其 中 
Ticketrcs= Er[KcrlIDcllIADc IIDzrlITSz|ICifetime?] 

(2) 入 场 券 许 可 服务 交换 ， 用 户 从 TGS 获取 服务 许可 凭证 。 
@ C 向 TGS 发 出 请 求 ， 内 容 包括 服务 器 识别 码 、 入 场 券 和 一 个 认证 符 。 

C 一 TGS: Exkcr[IDsl|Ticketrosl|Authenticatorc ] 
其 中 

Ticketres= Err[KcrIDclIADc IDzlITSzIILiketmez] 

Anuthenticatorc= Exkcr[IDcllADclITS3] 
@ TGS 验证 后 ， 向 C 发 出 服务 许可 和 凭证: 
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TGS 一 C: Ekgcr[KcsllIDsI|TSal| Tickets] 
其 中 
Tickets= Exrs[Kcsl|IDcl|ADc IIDsIITS4IICiEetmed] 
(3) 客户 -服务 器 相互 认证 交换 ， 用 户 从 服务 器 获取 服务 。 
@@ C 向 服务 器 证 明 自 己 身份 (用 Tickets 和 Authenticatorc) 
C—S: Ekcs[Ticketsl|Authenticatorc ] 
其 中 
Tickets= Ekrs[Kcsl|lIDcl|ADc IIDsIITS4ICifetume4] 
Authenticatorc= Ekcs[IDcl|ADc|ITS;s] 
@ 服务 器 向 客户 证 明 自己 身份 。 
S 一 C: Excs[TSs+1] 
这 个 过 程 结束 ， 客 户 C 与 服务 器 S 之 间 就 建立 起 了 共享 会 话 密 钥 ， 以 便 以 后 进行 加 密 
通信 或 交换 新 密 钥 。 


12. 简 述 认证 机 构 的 严格 层次 结构 模型 的 性 质 。 

答 : 层次 结构 中 的 所 有 实体 都 信任 唯一 的 根 CA。 在 认证 机 构 的 严格 层次 结构 中 ， 每 个 
实体 (包括 中 介 CA 和 终端 实体 ) 都 必须 拥有 根 CA 的 公 钥 ， 该 公 钥 的 安装 是 在 这 个 模型 中 为 
随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 ， 因 此 ， 它 必须 通过 一 种 安全 ( 带 外 ) 的 方式 
完成 。 

值得 注意 的 是 , 在 一 个 多 层 的 严格 层次 结构 中 , 终端 实体 直接 被 其 上 层 的 CA 认证 (也 
就 是 颁发 证 书 )， 但 是 它们 的 信任 锚 是 另 一 个 不 同 的 CA 〈 根 CA)。 


13. 证 书 管 理由 哪 3 个 阶段 组 成 ， 每 个 阶段 包括 哪些 具体 内 容 ? 

答 : 证 书 管理 的 3 个 阶段 及 具体 内 容 说 明 如 下 。 

(1) 初始 化 阶段 。 

A. 终端 实体 注册 

终端 实体 注册 是 单个 用 户 或 进程 的 身份 被 建立 和 验证 的 过 程 。 注 册 过 程 能 够 通过 不 同 
的 方法 实现 。 终 端 实体 注册 是 在 线 执行 的 ， 是 用 注册 表格 的 交换 说 明 的 。 注 册 过 程 一 般 要 
求 包括 将 一 个 或 更 多 的 共享 秘密 赋 给 终端 实体 , 以 便 后 来 在 初始 化 过 程 中 CA 确认 那个 个 体 。 

B. 密 钥 对 产生 

密 钥 资料 可 以 在 终端 实体 注册 过 程 前 或 直接 响应 终端 实体 注册 过 程 时 产生 。 在 RA 中 
或 在 CA 中 产生 密 钥 资料 是 可 能 的 ,每 个 终端 实体 多 个 密 钥 可 以 被 用 作 支 持 分 离 的 和 截然 不 
同 的 服务 。 例 如 ， 一 个 密 钥 对 可 以 被 用 作 支 持 不 可 否认 性 服务 ， 而 男 一 个 密 钥 对 可 以 被 用 
作 支 持 机 密 性 或 密 钥 管 理 功能 ( 双 密 钥 对 模型 )。 

C. 证 书 创建 和 密 钥 /证 书 分 发 

无 论 密 钥 在 哪里 产生 , 证 书 创建 的 职责 都 将 单独 地 落 在 被 授权 的 CA 上。 如果 公 钥 是 被 
终端 实体 ， 而 不 是 CA 所 产生 的 ， 那 么 该 公 钥 必须 被 安全 地 传送 到 CA， 以便 其 能 够 被 放 入 
证 书 。 
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一 旦 密 钥 资料 和 相关 的 证 书 已 经 被 产生 ， 它 们 就 必须 被 适当 分 发 。 请 求证 书 和 从 可 信 
实体 ( 即 CA) 取 回 证 书 〈 以 及 相关 的 密 钥 ， 如 果 适 用 的 话 ) 的 必要 条 件 是 要 求 有 一 个 安全 
协议 机 制 。 

D. 证 书 分 发 

如 果 私 钥 和 相应 的 公 钥 证 书 已 经 被 分 发 ， 那 么 就 有 一 种 或 多 种 传送 给 另 一 个 实体 的 
方法 。 

。 带 外 分 发 。 

。 在 一 个 公众 的 资料 库 或 数据 库 中 公布 ， 以 使 查询 和 在 线 检索 简便 。 

。 带 内 协议 分 发 。 例 如 ， 包 括 带 有 安全 E-mail 报 文 的 适用 的 验证 证 书 。 

被 用 作 数 字 签名 目的 的 证 书 可 以 仅 需 要 分 发 给 它们 的 所 有 者 ， 被 用 作 机 密 性 目的 的 证 
书 对 于 发 信 方 必须 是 容易 获得 的 。 

E. 密 钥 备份 和 托管 

一 定 比 例 的 加 密 密 钥 将 因为 许多 原因 (忘记 密码 、 磁 盘 补 破坏、 失常 的 智能 卡 或 雇员 
被 解雇 ) 使 这 些 密 钥 的 所 有 者 无 法 访问 ， 这 就 需要 事先 进行 密 钥 备份 。 

密 钥 托管 是 指 把 一 个 秘密 的 密 钥 或 私 钥 交 由 第 三 方 保 管 ， 这 样 做 的 问题 是 哪些 密 钥 应 
委托 保管 以 及 谁 是 可 以 信任 的 第 三 方 ( 政 府 ? )。 

(2) 颁布 阶段 。 

A. 证 书 检索 

证 书 检索 与 访问 一 个 终端 实体 证 书 的 能 力 有 关 。 检 索 一 个 终端 实体 证 书 的 需求 可 能 被 
两 个 不 同 的 使 用 要 求 所 驱动 。 

。 加 密 发 给 其 他 实体 的 数据 的 需求 。 

。 验证 一 个 从 另 一 个 实体 收 到 的 数字 签名 的 需求 。 

B. 证 书 验 证 

证 书 验证 与 评估 一 个 给 定 证 书 的 合法 性 和 证 书 颁发 者 的 可 信赖 性 有 关 。 证 书 验 证 是 在 
基于 那个 证 书 被 准许 加 密 操作 前 进行 的 。 

C. 密 钥 恢 复 

密 钥 管理 生命 周期 包括 从 远程 备份 设施 (如 可 信 密 钥 恢 复 中 心 或 CA) 中 恢复 私有 加 密 
密 钥 的 能 力 。 密 钥 的 恢复 能 使 PKI 管理 员 和 终端 用 户 的 负担 减 至 最 小 ， 这 个 过 程 必须 尽 可 
能 最 大 程度 自动 化 。 

D. 密 钥 更 新 

当 证 书 被 颁发 时 ， 其 被 赋予 一 个 固定 的 生存 期 。 当 证 书 “ 接 近 ” 过 期 时 ， 必 须 颁发 一 
个 新 的 公 / 私 钥 和 相关 证 书 ， 这 被 称 为 密 钥 更 新 。 应 该 允许 一 个 合理 的 转变 时 间 使 依托 方 取 
得 新 证 书 ， 从 而 避免 与 过 期 证 书 所 有 有 关 的 服务 中 断 。 这 个 过 程 是 自动 的 ， 并 对 终端 用 户 
完全 透明 。 

(3) 取消 阶段 。 

A. 证 书 过 期 

证 书 在 颁布 时 被 赋予 一 个 固定 的 生存 期 , 在 其 被 建立 的 有 效 期 结束 后 , 证 书 将 会 过 期 。 
当 一 个 证 书 过 期 后 ， 与 该 证 书 有 关 的 终端 实体 可 能 发 生 3 件 事 。 
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。 没有 活动 : 终端 实体 不 再 参加 PKI。 

。 证 书 恢复 : 相同 的 公 钥 被 加 入 新 有 效 期 的 新 证 书 〈 当 与 最 初 证 书 的 颁布 有 关 的 环境 
没有 变化 时 使 用 ， 并 且 它 仍然 认为 是 可 靠 的 )。 

。 证 书 更 新 :一 个 新 的 公 / 私 钥 对 被 产生 ， 并 且 一 个 新 的 证 书 被 颁发 。 


B. 证 书 撤销 
在 证 书 自然 过 期 前 对 给 定 证 书 的 即时 取消 《可 疑 的 密 钥 损害 、 作 业 状 态 的 变化 或 者 雇 
用 终止 等 )。 


一 个 终端 用 户 个 人 可 以 亲自 初始 化 自己 的 证 书 撤销 (例如 ， 由 于 相应 私有 密 钥 的 可 疑 
损害 )。RA 可 以 代表 终端 用 户 被 用 作 初 始 化 证 书 撤销 。 经 授权 的 管理 者 也 可 以 有 能 力 撤 销 
终端 实体 的 证 书 。 

C. 密 钥 历史 
于 机 密 性 加 密 密 钥 最 后 要 过 期 ， 因 此 可 靠 安全 地 存储 用 作 解 密 的 私有 密 钥 是 必需 的 ， 
这 被 称 作 密 钥 历史 ， 否 则 无 法 恢复 。 

D. 密 钥 档案 
可 靠 地 保存 已 经 过 期 的 用 于 验证 数字 签名 的 公 钥 ， 以 便 对 历史 文档 的 数字 签名 进行 


14. 简 述 使 用 密 钥 的 身份 认证 的 分 类 方法 。 
答 : 有 基于 公 钥 加 密 认证 协议 的 双向 认证 和 单 向 认证 ， 以 及 基于 单 钥 加 密 认 证 协议 的 
双向 认证 和 单 向 认证 方法 。 


15. 简 述 Kerberos 身份 认证 的 异域 认证 过 程 。 
答 : 如 图 3-2 所 示 。 


Kerberos 


图 3-2 Kerberos 身份 认证 的 异域 认证 过 程 


中 CAS: Erc [IDc | IDrITS]. 
©® AS—C: Erc[Ker IlIDr|| TS; || Lifetime; || Ticketrcs]。 
图 C—TGS: Ekcr [IDrs || Ticketres || Authenticatorc] (IDrs 为 B 域 TGSs 标 识 )。 


。70°* 


@ TGS—C: Ekcr [KcrsllIDrsl|TS4| Ticketre] (Kers 为 C 与 TGSs 会 话 密 钥 )。 
Ticketre= Ekrs[KcrsllIDcl|ADc lIIDrsllTSallLifetimes] 

© C—TGSs: Ekcrs [IDrsllTicketrsllAuthenticatorc]。 

© TGSs—C: Ercrs [Kcs|| IDrs || TSe || Ticketrs]。 

® C 一 S: Ekcs [TicketrellAuthenticatorc] 。 

其 中 ，Kc 为 C 的 用 户主 密 钥 ， 由 C 上 的 用 户口 令 导出 ， 可 与 AS 共享 ， 记 为 Kca。 

Ks 为 S 服务 器 主 密 钥 ， 可 与 TGS 共享 ， 也 记 为 Ksr。 

KI 为 TGS 主 密 铀 ， 可 与 AS 共享 ， 记 为 Kar。 

Kcr 为 C 与 TGS 会 话 密 钥 。 

Krs 为 TGS 与 S 会 话 密 钥 。 

Kcs 为 C 与 S 会 话 密 钥 。 


16. 简 述 X.509 证 书包 含 的 内 容 。 

答 : X.509 公开 密 钥 证 书包 含 下 列 内 容 。 

(1) 版 本 , 指明 这 个 证 书 符合 ITU-T X.509 建议 的 哪个 版 本 格式 。X.509 现在 已 经 有 1 
2，3 共 3 个 版 本 。 

(2) 序列 号 ， 由 发 布 证 书 的 CA 分 配 。 这 个 序列 号 在 该 CA 发 布 的 所 有 证 书 中 是 唯一 的 。 

(3) 算法 标识 符 ， 指 明证 书 数字 签名 的 算法 。 

(4) 发 布 者 ， 表 明 发 布 和 签署 该 证 书 的 CA。 

(5) 有 效 期 ， 包 含 起 始 两 个 日 期 。 

(6) 主体 ， 定 义 名 字 或 者 是 其 他 的 身份 标识 ， 表 明 这 个 证 书 发 给 哪个 用 户 。 例 如 ， 主 
体 域 可 能 包含 名 字 和 住址 。 

(7) 公开 密 钥 信息 ， 包 含 用 户 的 公开 密 钥 和 使 用 这 个 密 钥 的 算法 。 

(8) 签名 ， 证 书 的 数字 签名 。 


17. 简 述 X.509 的 双向 认证 过 程 。 
1 AtraThB,SenData, En, [KAn]} 


答 : X.509 建议 3 种 认证 过 程 : 一 次 认证 (也 称 单 向 认证 )、 二 次 认证 (也 称 双向 验证 ) 
和 三 次 认证 过 程 。 

双向 认证 过 程 即 A 不 仅 要 向 B 发 送 验证 凭证 消息 , B 也 要 通过 应 答 证 明 以 下 几 点 : IDs 
的 身份 ， 应 答 是 由 B 发 出 的 ， 应 答 的 接收 者 是 A， 应 答 报 文 是 完整 和 及 时 的 。 


18. 试 述 数 字 证 书 的 原理 。 
答 : 数字 证 书 采用 公开 密 钥 体制 (如 RSA)。 每 个 用 户 设 定 一 仅 为 本 人 所 知 的 私有 密 
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钥 , 用 它 进行 解密 和 签名 ; 同时 设 定 一 公开 密 钥 , 为 一 组 用 户 所 共享 , 用 于 加 密 和 验证 签名 。 
采用 数字 证 书 ， 能 够 确认 以 下 两 点 。 
(1) 保证 信息 是 由 签名 者 自己 签名 发 送 的 ， 签 名 者 不 能 否认 或 难以 否认 。 
(2) 保证 信息 自 签发 后 到 收 到 为 止 未 曾 做 过 任何 修改 ， 签 发 的 信息 是 真实 信息 。 


19. 查阅 资料 ， 简 述 有 关 PKI 的 标准 及 其 相关 产品 。 

答 : PKI 标准 : 

(1) X.209 (1988) ASN.1 基本 编码 规则 的 规范 。 

(2) X.500 (1993) 信息 技术 之 开放 系统 互联 。 

(3) X.509 (1993) 信息 技术 之 开放 系统 互联 。 

(4) PKCS 系列 标准 。 

随 着 网 络 应 用 的 不 断 普及 深入 ，PKI 的 市 场 正 在 不 断 扩 大 。 现 在 ， 市 场 上 涌现 出 了 很 多 
PKI 产 品 ， 如 

(1) Baltimore 公司 的 UniCERT。 

(2) Entrust 公司 的 PKI 产品 -Entrust/PKI 5.0。 

(3) VeriSign 公司 的 OnSite。 


20. PKI 可 以 提供 哪些 安全 服务 ? PKI 体系 中 包含 了 哪些 与 信任 有 关 的 概念 ? 

答 : 通过 数字 证 书 ， 可 以 提供 身份 的 认证 与 识别 ， 完 整 性 、 保 密 性 和 不 可 否认 等 安全 
服务 。 在 PKI 中 ， 我 们 可 以 把 信任 定义 具体 化 为 ， 如 果 一 个 用 户 假定 CA 可 以 把 任 一 公 钥 
绑 定 到 某 个 实体 上 ， 则 他 信任 该 CA。 


21. 叙述 基于 X.509 的 数字 证 书 在 PKI 中 的 作用 。 

答 : PKI (Public Key Infrastructure) 是 一 个 以 公开 密 钥 加 密 法 为 中 心 的 密 钥 管理 体系 结 
构 ， 它 能 提供 公开 密 钥 加 密 和 数字 证 书 服务 ， 采 用 证 书 管理 公 钥 ， 通 过 第 三 方 的 可 信任 机 
构 CA (Certificate Authority) 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 称 、E-mail、 身 份 证 
号 等 ) 捆绑 在 一 起 ， 在 Internet 上 验证 用 户 的 身份 ， 即 使 用 数字 证 书 提供 用 户 的 公开 密 钥 ， 
让 可 信 字 证 书 认证 中 心 (CA) 签署 用 户 的 公开 密 钥 。 目 前 广泛 认可 的 PKI 
是 以 ITU-T 的 X.509 数字 证 书 第 3 版 为 基础 的 结构 。 


22. 解释 访问 控制 的 基本 概念 。 

答 : 访问 控制 是 建立 在 身份 认证 基础 上 的 ， 通 过 限制 对 关键 资源 的 访问 ， 防 止 非法 用 
户 的 侵入 或 因为 合法 用 户 的 不 慎 操作 而 造成 的 破坏 。 

访问 控制 的 目的 是 限制 主体 对 访问 客体 的 访问 权限 (安全 访问 策略 )， 从 而 使 计算 机 系 
统 在 合法 范围 内 使 用 。 


23. 访问 控制 有 几 种 常用 的 实现 方法 ? 它们 各 有 什么 特点 ? 
答 : (1) 访问 控制 矩阵 。 


a 


行 表示 客体 〈 各 种 资源 )， 列 表示 主体 〈 通 常 为 用 户 )， 行 和 列 的 交叉 点 表示 某 个 主体 
对 某 个 客体 的 访问 权限 。 通 常 ， 一 个 文件 的 Own 权限 表示 可 以 授予 (authorize) 或 撤销 
(revoke) 其 他 用 户 对 该 文件 的 访问 控制 权限 。 

(2) 访问 能 力 表 。 

实际 的 系统 中 虽然 可 能 有 很 多 的 主体 与 客体 ， 但 两 者 之 间 的 权限 关系 并 不 多 。 为 了 减 
少 系统 的 开销 与 浪费 ， 可 以 从 主体 ( 行 ) 出 发 ， 表 达 和 矩阵 某 一 行 的 信息 ， 这 就 是 访问 能 力 
表 (capabilities)。 

只 有 当 一 个 主体 对 某 个 客体 拥有 访问 能 力 时 ， 它 才能 访问 这 个 客体 。 但 是 ， 要 从 访问 
能 力 表 获 得 对 某 一 特定 客体 有 特定 权限 的 所 有 主体 就 比较 困难 。 在 一 个 安全 系统 中 ， 正 是 
客体 本 身 需 要 得 到 可 靠 的 保护 ， 访 问 控制 服务 也 应 该 能 够 控制 可 访问 某 一 客体 的 主体 集合 ， 
于 是 出 现 了 以 客体 为 出 发 点 的 实现 方式 一 一 ACL。 

(3) 访问 控制 表 。 

也 可 以 从 客体 ( 列 ) 出 发 , 表达 和 矩阵 某 一 列 的 信息 ,这 就 是 访问 控制 表 (Access Control 
List)。 它 可 以 对 某 一 特定 资源 指定 任意 一 个 用 户 的 访问 权限 ， 还 可 以 将 有 相同 权限 的 用 户 
分 组 ， 并 授予 组 的 访问 权 。 

(4) 授权 关系 表 。 

授权 关系 表 (authorization relations) 的 每 一 行 都 表示 了 主体 和 客体 的 一 个 授权 关系 。 
对 表 按 客体 进行 排序 ， 可 以 得 到 访问 控制 表 的 优势 ， 对 表 按 主体 进行 排序 ， 可 以 得 到 访问 
能 力 表 的 优势 。 授 权 关 系 表 适 合 采用 关系 数据 库 实现 。 


24. 在 信息 系统 内 主体 通常 指 什 么 ? 客体 通常 指 什么 ? 
答 : 主体 通常 指 用 户 ， 客 体 通常 指 资源 。 


25. 查找 资料 ， 分 别 给 出 几 个 自主 访问 控制 、 强 制 访 问 控制 和 基于 角色 的 访问 控制 的 
实例 。 

答 : (1)“ 拥 有 者 / 同 组 用 户 / 其 他 ”模式 : 在 UNIX、Linux、VMS 等 系统 中 ， 实 现 了 一 
种 十 分 简单 、 常 用 而 有 效 的 自主 访问 控制 模式 ， 就 是 在 每 个 文件 上 附加 一 段 有 关 访 问 控制 
信息 的 二 进 制 位 ， 这 些 二 进 制 位 反映 了 不 同类 别 用 户 的 存 取 方 式 ， 即 文件 的 拥有 者 、 文 件 
拥有 者 同 组 的 用 户 和 其 他 用 户 。 

这 种 模式 的 一 个 很 大 缺点 就 是 ， 客 体 的 拥有 者 不 能 够 精确 控制 某 个 用 户 对 其 客体 的 访 
问 权 , 如 不 能 够 指定 与 owner 同 组 的 用 户 A 能 够 对 该 客体 具有 读 、 写 、 执 行 权 限 , 而 与 owner 
同 组 的 用 户 B 不 可 以 对 该 客体 有 任何 权限 。 

(2) 强制 访问 控制 已 经 在 许多 基于 安全 内 核 的 系统 中 得 以 实现 ， 并 转换 到 许多 非 内 核 
化 的 操作 系统 中 ， 包 括 Honeywell 公司 的 Multics、DEC 公司 的 SES/VMS 以 及 Sperry 公司 
的 1100 操作 系统 。 这 里 ， 以 UNIX SVR 4.1ES 安全 操作 系统 的 强制 访问 控制 机 制 为 例 加 以 
说 明 。 

安全 操作 系统 UNIX SVR 4.1ES 的 强制 访问 控制 机 制 分 别 对 系统 中 的 主体 和 客体 赋予 
了 相应 的 安全 级 ， 并 采用 了 多 级 安全 规则 。 
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A. 主体 的 安全 级 。 主 体 的 安全 级 即 用 户 的 安全 级 以 及 代表 用 户 进行 工作 的 进程 的 安全 
级 。 用 户 的 安全 级 是 系统 管理 员 根据 安全 策略 ， 使 用 adduser 命令 创建 用 户 时 设置 的 。 系 统 
在 用 户 安全 文件 档 中 为 每 个 用 户 建 立 一 项 ， 表 明 该 用 户 的 安全 级 范围 ， 并 说 明 其 默认 安全 
级 。 默 认 安全 级 在 该 用 户 的 安全 级 范围 之 内 。 

用 户 登 录 系统 时 ， 他 可 以 指定 本 次 登录 的 安全 级 ， 指 定安 全 级 必须 在 其 安全 级 范围 之 
内 。 成 功 登 录 后 ， 系 统 将 用 户 本 次 指定 的 安全 级 设置 给 为 该 用 户 创建 的 shell 进程 。 如 果 用 
户 不 指定 登录 安全 级 ， 系 统 则 将 该 用 户 的 默认 安全 级 设置 给 为 该 用 户 创建 的 shell 进程 。 

B. 客体 的 安全 级 。 客 体 安 全 级 的 确定 和 赋值 是 根据 客体 的 类 型 按 以 下 规则 进行 的 文件 、 
有 名 管道 的 安全 级 。 文 件 、 有 名 管道 的 安全 级 为 创建 该 客体 进程 的 安全 级 ， 且 客体 的 安全 
级 必须 等 于 其 父 目 录 的 安全 级 ， 保 存在 相应 的 磁盘 Inode 节点 和 内 存 Inode 节点 中 。 

进程 、 消 息 队列 、 信 号 量 集合 和 共享 存储 区 的 安全 级 。 这 组 类 型 的 客体 不 具有 文件 系 
统 表示 形式 ， 其 安全 级 为 创建 进程 的 安全 级 ， 保 存在 内 存 相应 的 数据 索引 结构 中 。 

目录 的 安全 级 。 目 录 同 普通 文件 一 样 ， 在 它们 的 生存 周期 内 具有 一 个 安全 级 ， 所 不 同 
的 是 目录 的 结构 须 满足 兼容 性 。 一 个 进程 创建 一 个 目录 ， 目 录 的 安全 级 即 为 创建 其 进程 的 
安全 级 ， 且 目录 的 安全 级 须 大 于 或 等 于 其 父 目 录 的 安全 级 。 同 文件 一 样 ， 它 保存 在 相应 的 
磁盘 Inode 节点 和 内 存 Inode 节点 中 。 

C. 设备 的 安全 级 。 系 统 在 设备 安全 文档 中 说 明 系 统 中 每 个 设备 的 安全 属性 ， 如 设备 的 
最 高 安全 级 、 最 低 安 全 级 等 。 设 备 还 具有 当前 安全 级 ， 一 个 设备 的 当前 安全 级 为 调用 该 设 
备 的 用 户 进程 、 系 统 进程 或 系统 服务 进程 的 安全 级 。 设 备 的 当前 安全 级 必须 在 设备 的 最 大 
安全 级 与 最 小 安全 级 之 间 。 

另外 ， 设 备 分 为 单 级 设备 和 多 级 设备 。 多 级 设备 可 以 包含 多 个 安全 级 数据 。 这 个 设备 
只 能 由 具有 适当 特权 的 进程 打开 〈open)， 包 括 内 核 和 系统 进程 、 具 有 适当 特权 的 管理 员 进 
程 。 磁 盘 和 存储 器 设备 就 是 多 级 设备 。 单 级 设备 在 某 个 时 刻 只 能 处 理 单一 安全 级 的 数据 。 
这 类 设备 包括 终端 和 用 于 某 个 相应 状态 的 磁带 机 和 软盘 驱动 器 。 如 果 一 个 设备 用 作 一 个 公 
用 (public) 资源 ， 那 么 它 必须 是 单 级 设备 。 具 有 适当 特权 的 管理 员 可 以 将 这 些 设 备用 作 多 
级 设备 ， 如 产生 一 个 系统 的 磁带 备份 。 

通常 ， 一 个 用 户 在 登录 时 访问 一 个 终端 设备 ， 这 个 用 户 将 以 某 个 安全 级 在 该 终端 上 进 
入 系统 。 如 果 这 个 安全 级 不 在 这 个 终端 所 定义 的 安全 级 范围 之 内 ， 这 个 登录 就 会 失败 。 如 
果 登 录 成 功 ， 这 个 设备 的 安全 级 就 被 设置 成 用 户 登 录 时 使 用 的 安全 级 。 

要 使 用 磁带 或 软盘 设备 ， 或 者 不 是 在 登录 时 访问 终端 设备 ， 用 户 必 须要 求 管理 员 分 配 
(allocate) 设备 ， 管 理 员 以 某 个 安全 级 将 此 设备 分 配给 这 个 用 户 。 如 果 这 个 安全 级 不 在 设备 
的 安全 级 范围 之 内 ,这 个 分 配 将 失败 。 如 果 成 功 ,， 用 户 就 成 为 这 个 设备 的 所 有 者 (owner)。 
此 时 文件 的 DAC 设置 为 600， 设 备 安全 级 为 分 配 命令 中 给 定 的 安全 级 ， 并 且 管 理 员 将 通知 
用 户 这 个 操作 已 经 成 功 。 如 果 用 户 当前 的 安全 级 等 于 分 配 的 安全 级 ， 用 户 就 可 以 任意 使 用 
这 些 设备 了 。 

还 有 少量 设备 不 属于 以 上 两 种 分 类 而 需要 特别 处 理 , 包括 /dev/null、 /dev/zero、 /dev/tty。 
由 于 数据 并 不 流 过 这 些 设备 ， 所 以 用 户 随时 都 可 以 访问 这 些 设备 。 

(3) 基于 角色 的 访问 控制 的 实例 包括 北仑 国际 集装箱 码头 有 限 公司 基于 该 控制 系统 的 
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软件 ， 包 括 Polaris (码头 生产 管理 系统 )、《 费 收发 票 管理 系统 》《 人 事 工资 管理 系统 》 等 。 
基于 RBAC 模型 的 权限 管理 系统 的 实现 技术 方案 简化 了 开发 人 员 的 开发 工作 ， 也 使 用 户 在 
进行 权限 分 配 时 更 加 直观 灵活 ， 并 支持 岗位 、 权 限 多 变 的 需求 。 


26. 比较 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 。 

答 : 自主 访问 控制 (Discretionary Access Control，DAC ) 由 客体 的 属 主 对 自己 的 客体 进 
行 管理 ， 由 属 主 自己 决定 是 否 将 自己 的 客体 访问 权 或 部 分 访问 权 授 予 其 他 主体 ， 这 种 控制 
方式 是 自主 的 。 也 就 是 说 ， 在 自主 访问 控制 下 ， 用 户 可 以 按 自己 的 意愿 ， 有 选择 地 与 其 他 
用 户 共享 他 的 文件 。 强 制 访问 控制 的 基本 思想 是 不 允许 单个 用 户 确定 访问 权限 ， 只 有 系统 
管理 员 才 可 以 确定 用 户 或 用 户 组 的 访问 权限 。MAC 主要 用 于 多 层次 安全 级 别 的 系统 (如 军 
事 系 统 ) 中 。 优 点 是 具有 更 强 的 访问 控制 能 力 ， 缺 点 是 工作 量 大 ， 管 理 不 便 以 及 不 灵活 。 
基于 角色 的 访问 控制 (Role-Base Access Control，RBAC) 是 以 角色 而 非 个 体 设计 的 访问 控 
制 策略 ， 一 个 个 体 可 以 有 多 重 角色 ， 一 个 角色 可 以 由 多 人 承担 ， 由 于 角色 比 个 体 具有 较 大 
的 稳定 性 ， 这 种 访问 控制 比 针对 个 体 的 自主 访问 控制 和 强制 访问 控制 在 可 操作 性 和 可 管理 
性 方面 都 要 强 得 多 。 


27. 查找 资料 ， 说 明 还 有 哪些 新 的 访问 控制 策略 。 

答 : 利用 层次 分 析 法 ， 根 据 用 户 流量 特征 对 用 户 的 信任 度 进行 评估 ， 采 用 基于 信任 度 
的 访问 控制 策略 ， 并 根据 信任 度 动态 调整 网 络 防 御 路 径 ， 实 现 对 内 部 威胁 的 实时 防护 。 具 
体 实现 如 下 : 访问 控制 应 用 (ACA) 为 SDN 控制 器 的 上 层 应 用 ， 是 整个 系统 的 核心 。ACA 
通过 SDN 控制 器 获取 数据 层面 的 信息 和 用 户 的 身份 信息 ， 通 过 流量 分 析 设备 获得 用 户 的 
行为 信息 ， 并 能 够 从 用 户 信息 数据 库 中 获取 用 户 的 权限 信息 。 利 用 层次 分 析 法 〈Analytic 
Hierarchy Process，AHP)， 结 合 层次 结构 模型 将 用 户 的 总 体 信 任 度 分 解 为 子 信任 度 ， 再 将 子 
信任 度 分 解 为 更 细 的 数据 单元 ， 即 信任 度 证 据 ， 然 后 再 从 下 层 到 上 层 进行 系统 的 组 合 。 这 
种 先 分 解 再 组 合 的 方法 能 够 解决 用 户 信任 评估 中 的 不 确定 性 、 主 观 性 。AHP 可 分 为 5 个 
步骤 四 建立 层次 结构 模型 ; @ 构 造 判断 矩阵 ;图 层次 单 排序 及 一 致 性 检验 ;四 层次 总 排 
序 ; 回 层次 总 排序 一 致 性 检验 。 

根据 常见 的 内 部 威胁 类 型 ， 将 用 户 总 体 信任 度 分 解 为 5 个 子 信任 度 ， 即 身份 安全 子 信 
任 度 、 越 权 访 问安 全 子 信任 度 、 流 量 安全 子 信任 度 、 畸 形 数据 包 安全 子 信任 度 、 扫 描 攻 击 
安全 子 信任 度 。 身 份 安全 子 信任 度 主要 代表 用 户 身 份 的 可 信 程 度 ， 越权 访问 安全 子 信任 度 
主要 代表 越权 访问 的 严重 程度 ， 流 量 安 全 子 信任 度 主要 代表 用 户 发 动 流量 型 攻击 的 可 能 性 ; 
畸形 数据 包 安 全 子 信任 度 代 表 用 户 发 动 畸形 包 攻 击 的 可 能 性 ， 扫 描 攻击 安全 子 信任 度 代 表 
用 户 扫描 网 络 中 主机 和 端口 的 可 能 性 。 

通过 层次 分 析 法 可 以 得 到 总 体 信任 度 和 “5 个 子 信任 度 的 值 。 上 述 6 个 信任 度 值 作为 
系统 选取 访问 控制 策略 的 依据 。 系 统 每 隔 一 段 时 间 计 算 一 次 信任 度 的 值 ， 并 根据 得 到 的 信 
任 度 决定 是 否 需 要 进行 访问 控制 策略 的 变更 。 
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第 4 章 ”网络 安 全 防护 


4.1 第 4 章 知识 提要 


本 章 习题 详细 解答 了 关于 防火 墙 、Intemnet 安全 协议 、VPN、 入 侵 检测 系统 、 网 络 诱骗 、 


蜜 缸 技术 等 方面 的 常见 问题 和 实践 思路 。 


4.2 第 4 章 习 题 和 答案 详解 


一 、 选 择 题 ( 管 案 : BCADC BDBDD DBACA DABBC CADDA) 


.防火 墙 用 于 将 Intermet 和 内 部 网 络 隔离 ， 

A. 防止 Intemet 火 灾 的 硬件 设施 

B. 网 络 安全 和 信息 安全 的 软件 和 硬件 设施 
C. 保护 线路 不 受 破坏 的 软件 和 硬件 设施 
D. 起 抗 电磁 干扰 作用 的 硬件 设施 


玲 
的 
中 


解答 : 防火 墙 的 主要 作用 是 保护 系统 安全 ， 由 硬件 和 软件 联合 实现 。 


2. 防火 墙 最 主要 被 部 署 在 位 置 。 
人 网 络 边界 


B. 
C. 
iy 


解答 : 


B 
C. 
D. 部 署 防火 墙 ， 就 解决 了 网 络 安 全 问题 


解答 : 
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当 总 


-线路 
要 服务 器 旁 
面 终端 


根据 题 意 ， 防 火 墙 主要 被 部 署 在 重要 服务 器 旁 最 切合 答案 。 


. 下 列 关 于 防火 墙 的 说 法 中 错误 的 是 
A. 


防火 墙 工作 在 网 络 层 


. 防火 墙 对 了 -数据 包 进行 分 析 和 过 滤 


防火 墙 是 重要 的 边界 保护 机 制 


目前 
到 应 


答案 : A 
的 硬件 防火 墙 可 以 在 第 二 层 至 第 七 层 工作 ， 即 可 以 作 链 路 层 访问 控制 (MAC) 
用 层 访问 控制 〈 关 键 字 过 滤 等 )， 不 只 是 在 网 络 层 ， 因 此 选 A。 


4. 在 一 个 企业 网 中 ， 防 火 墙 应 该 是 的 一 部 分 ， 构 建 防火 墙 时 首先 要 考虑 其 保护 的 


B 
C. 局 部 安全 策略 
D. 全 局 安全 策略 


解答 : 防火 墙 是 全 局 安全 策略 的 一 部 分 。 


5. 一 般 而 言 ，Intemet 防 火 墙 建立 在 一 个 网 络 的 
A. 内 部 子 网 之 间 传 送信 息 的 中 枢 
B. 每 个 子 网 的 内 前 
C. 内 部 网 络 与 外 部 网 络 的 交叉 点 
D. 部 分 内 部 网 络 与 外 部 网 络 的 结合 处 


六 
le 


解答 : 一 般 而 言 ，Intemet 防 火 墙 建立 在 一 个 网 络 的 内 部 网 络 与 外 部 网 络 的 交叉 点 。 


6. 包 过 滤 型 防火 墙 从 原理 上 看 是 基于 进行 数据 包 分 析 的 技术 。 
A. 物理 层 
B. 数据 链 路 层 
C. 网 络 层 
D. 应 用 层 


解答 : 根据 包 过 滤 型 防火 墙 的 定义 ， 应 该 选 B。 


7. 对 非 军事 DMZ 而 言 ， 正 确 的 解释 是 
A. DMZ 是 一 个 真正 可 信 的 网 络 部 分 
. DMZ 网 络 访问 控制 策略 决定 允许 或 禁止 进入 DMZ 通 信 
. 允许 外 部 用 户 访问 DMZ 系 统 上 合适 的 服务 
以 上 3 项 都 是 


日 站台 


答案 : D 
解答 : 对 非 军事 DMZ 而 言 ， 正 确 的 解释 是 DMZ 是 一 个 真正 可 信 的 网 络 部 分 ，DMZ 网 络 访 
问 控制 策略 决定 允许 或 禁止 进入 DMZ 通 信 ， 人 允许 外 部 用 户 访问 DMZ 系 统 上 合适 的 服 

务 ， 所 以 选 D。 


8. 对 动态 网 络 地 址 交换 (NAT)， 不 正确 的 说 法 是 s 
A. 将 很 多 内 部 地 址 映射 到 单个 真实 地 址 
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B. 外 部 网 络 地 址 和 内 部 地 址 一 对 一 地 映射 
C. 每 个 连接 使 用 一 个 端口 
D. 最 多 可 有 64 000 个 同时 的 动态 NAT 连 接 


答案 : B 
解答 : 对 动态 网 络 地 址 交换 (NAT)， 外 部 网 络 地 址 和 内 部 地 址 不 是 一 对 一 的 映射 借助 于 
NAT, 私有 (保留 ) 地址 的 “内 部 ”网 络 通过 路 由 器 发 送 数 据 包 时 ， 私 有 地 址 被 转换 
合法 的 下 地 址 ， 一 个 局 域 网 使 用 少量 人 P 地 址 (甚至 1 个 )， 即 可 实现 私有 地 址 网 络 内 

所 有 计算 机 与 Internet 的 通信 需求 ， 因 此 选 B。 


9. 以 下 不 是 包 过 滤 防 火 墙 主要 过 滤 的 内 容 。 
A. 源 耳 地 址 
B. 目的 耳 地 址 
C. TCP 源 端口 和 目的 端口 
D. 时 间 


解答 : 包 过 滤 防 火 墙 主要 过 滤 的 内 容 不 包括 时 间 ， 因 此 选 D。 


10. 在 被 屏蔽 的 主机 体系 中 ,堡垒 主机 位 于 中 , 所 有 的 外 部 连接 都 经 过 滤 路 由 器 到 
它 上 面 去 。 
A. 内 部 网 络 
B. 周边 网 络 
C. 外 部 网 络 
D. 自由 连接 


解答 : 在 被 屏蔽 的 主机 体系 中 ， 集 又 主机 位 于 自由 连接 处 。 


11. 外 部 数据 包 经 过 过 滤 路 由 只 能 阻止 的 唯一 JP 欺 骗 。 
A. 内 部 主机 伪装 成 外 部 主机 了 
B. 内 部 主机 伪装 成 内 部 主机 卫 
C. 外 部 主机 伪装 成 外 部 主机 人 P 
D. 外 部 主机 伪装 成 内 部 主机 人 P 
答案 : D 
解答 : 外 部 数据 包 经 过 过 滤 路 由 只 能 阻止 外 部 主机 伪装 成 内 部 主机 JP 的 唯一 P 欺 骗 。 


12. IPSec 协 议 工作 在 网 络 的 ” ___。 
A. 数据 链 路 层 
B. 网 络 层 
C. 应 用 层 
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D. 传输 层 
解答 : IPSec 协 议 工作 在 网 络 的 网 络 层 。 


13. IPSec 协议 中 涉及 密 钥 管理 的 重要 协议 是 
A. IKE 
B. AH 
C. ESP 
D. SSL 


解答 : IPSec 协 议 中 涉及 密 钥 管理 的 重要 协议 IKE (Internet Key Exchange)。 


14. SSL 产 生 会 话 密 钥 的 方式 是 
A. 从 密 钥 管 理 数 据 库 中 请 求 获 得 
B. 每 一 台 客户 机 分 配 一 个 密 钥 的 方式 
C. 随机 由 客户 机 产生 并 加 密 后 通知 服务 器 
D. 由 服务 器 产生 并 分 配给 客户 机 


| 


解答 : SSL 产 生 会 话 密 钥 的 方式 是 ， 随 机 由 客户 机 产生 并 加 密 后 通知 服务 器 。 


15. 传输 层 保护 的 网 络 采 用 的 主要 技术 是 建立 在 基础 上 的 
A. 可 靠 的 传输 服务 ”安全套 接 字 层 (SSL) 协议 
B. 不 可 靠 的 传输 服务 S-HTTP 
C. 可 靠 的 传输 服务 S-HITP 
D. 不 可 靠 的 传输 服务 ”安全套 接 字 层 (SSL) 协议 


答案 : AA 
解答 : 传输 层 保护 的 网 络 采用 的 主要 技术 是 建立 在 可 靠 的 传输 服务 基础 上 的 安全 套 接 层 
(SSL) 协议 。 


16. 主要 用 于 加 密 机 制 的 协议 是 ; 
A. HTTP 
B. FTP 
C. Telnet 
D. SSL 


解答 : 主要 用 于 加 密 机 制 的 协议 是 SSL。 


17. 通常 所 说 的 移动 VPN 是 指 ” _。 
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A. Access VPN 
B. Intranet VPN 
C. Extranet VPN 
D. 以 上 均 不 是 


解答 : 通常 所 说 的 移动 VPN 是 指 Access VPN。 


18. 以 下 属于 第 二 层 的 VPN 隧 道 协 议 有 8 
A. IPSec 
B. PPTP 
C. GRE 
D. 以 上 均 不 是 


解答 :属于 第 二 层 的 VPN 隧 道 协议 有 PPTP。 


19. 将 公司 与 外 部 供应 商 、 客 户 及 其 他 利益 相关 群体 相连 接 的 是 。 
A. 内 联网 VPN 
B. 外 联网 VPN 
C. 远程 接 入 VPN 
D. 无 线 VPN 


解答 : 将 公司 与 外 部 供应 商 、 客 户 及 其 他 利益 相关 群体 相连 接 的 是 外 联网 VPN。 


20. 以 下 不 属于 隧道 协议 的 是 。 
A. PPTP 
B:. I2TP 
C. TCP/IP 
D. IPSec 


解答 ， TCP/IP 不 属于 隧道 协议 。 


21. 以 下 不 属于 VPN 核 心 技 术 的 是 
A. 隧道 技术 
B. 身份 认证 
C. 日 志 记 录 
D. 访问 控制 


解答 : 日 志 记录 不 属于 VPN 核 心 技术 。 
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关 : 通过 一 个 拥有 与 专用 网 络 相同 策略 的 共享 基础 设施 , 提供 对 企业 内 部 网 或 外 部 
网 的 远程 访问 。 
A. Access VPN 
B. Intranet VPN 
C. Extranet VPN 
D. Intemet VPN 
答案 : A 
解答 :Access VPN 通 过 一 个 拥有 与 专用 网 络 相同 策略 的 共享 基础 设施 ， 提 供 对 企业 内 部 网 
或 外 部 网 的 远程 访问 。 


23. L2TP 隧 道 在 两 端的 VPN 服 务 器 之 间 采 用 验证 对 方 的 身份 。 
A. SSL 
B. 数字 证 书 
C. Kerberos 
D. 口令 握手 协议 CHAP 
答案 : D 
解答 : L2TP 隧 道 在 两 端的 VPN 服 务 器 之 间 可 以 采用 口令 握手 协议 CHAP 验 证 对 方 的 身份 。 


24. 入 侵 检 测 的 基本 方法 是 

A. 基于 用 户 行为 概率 统计 模型 的 方法 

B. 基于 神经 网 络 的 方法 

C. 基于 专家 系统 的 方法 

D. 以 上 都 正确 

答案 : D 
解答 : 入 侵 检 测 的 基本 方法 是 包括 基于 用 户 行为 概率 统计 模型 的 方法 、 基 于 神经 网 络 的 方 
法 、 基 于 专家 系统 的 方法 等 多 种 方法 ， 所 以 选 D。 


25. 关于 入 侵 检测 技术 ， 下 列 描 述 中 错误 的 是 
A. 入 侵 检测 系统 不 对 系统 或 网 络 造成 任何 影响 
B. 审计 数据 或 系统 日 志 信息 是 入 侵 检 测 系统 的 一 项 主要 信息 来 源 
C. 入 侵 检测 信息 的 统计 分 析 有 利于 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 
D. 基于 网 络 的 入 侵 检 测 系统 无 法 检查 加 密 的 数据 流 


解答 : 入 侵 检测 系统 会 对 系统 或 网 络 造成 影响 ， 因 此 选 A。 
、 填 空 题 
答案 : 1. 内 外 网 ， 内 部 网 ， 外 部 网 
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2. 双 宿 主机 ， 屏 蔽 主机 ， 屏 项 子 网 
3. 主机 ， 网 络 ， 分 布 式 
4. 隧道 


1. 防火 墙 位 于 _ 内 外 网 之 间 ， 一 端 是 _ 内 部 网 ， 另 一 端 是 _ 外 部 网 。 

2. 防火 墙 系 统 的 主要 体系 结构 有 _ 双 宿主 机 _ 体 系 结构 、_ 屏 项 主机 _ 体 系 结构 和 _ 屏 蔽 子 网 
体系 结构 。 

3. 按 检测 的 监控 位 置 划分 , 入 侵 检 测 系统 可 分 为 基于 _ 主 机 的 入 侵 检 测 系统 、 基 于 _ 网 络 的 
入 侵 检测 系统 和 _ 分 布 式 入 侵 检测 系统 。 

4. 隧道 被 定义 为 通过 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 , 是 一 条 穿 过 公用 网 络 的 安全 、 
稳定 的 通道 。 


三 、 问 答题 


1. 在 组 建 mtranet 时 ， 防 火 墙 是 必需 的 吗 ? 为 什么 ? 

答 : 是 的 。 因 为 Intranet 称 为 企业 内 部 网 ， 或 称 内 部 网 、 内 联网 、 内 网 ， 是 一 个 使 用 与 
因特网 同样 技术 的 计算 机 网 络 ， 它 通常 建立 在 一 个 企业 或 组 织 的 内 部 并 为 其 成 员 提 供 信息 
的 共享 和 交流 等 服务 ， 可 以 说 Intranet 是 Intemet 技术 在 企业 内 部 的 应 用 。 它 需要 建立 防火 
墙 把 内 部 网 和 Internet 分 开 , 以 保证 内 部 网 的 高 安全 性 。 当然, ntranet 并 非 一 定 要 和 Internet 
连接 在 一 起 ， 它 完全 可 以 自 成 一 体 作为 一 个 独立 的 网 络 。 


2， 试 述 一 个 防火 墙 产品 应 具备 哪些 基本 功能 。 

答 : 防火 墙 主要 用 于 保护 内 部 安全 网 络 免 受 外 部 不 安全 网 络 的 侵害 ， 但 也 可 用 于 企业 
内 部 各 部 门 网 络 之 间 ， 限 制 它们 的 互相 访问 。 

防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ， 这 样 能 够 过 滤 掉 一 些 攻 击 ， 以 免 其 在 目标 计算 
机 上 被 执行 。 防 火 墙 还 可 以 关闭 不 使 用 的 端口 ， 而 且 它 还 能 禁止 特定 端口 的 流出 通信 ， 封 
锁 特洛伊 木马 。 最 后 ， 它 可 以 禁止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 
通信 。 

总 之 ， 一 个 防火 增产 品 应 该 具备 强化 网 络 安全 策略 ， 防 止 故 障 蔓延 ， 对 网 络 访问 进行 
监控 审计 和 报警 ， 提 供 流量 控制 和 计 费 ， 实 现 MAC 和 了 正 地 址 的 绑 定 等 基本 功能 。 


3. 下 面 是 选择 防火 墙 时 应 考虑 的 一 些 因 素 ， 请 按 你 的 理解 ， 将 它们 按 重 要 性 排序 。 
(1) 被 保护 网 络 受 威胁 的 程度 。 

(2) 受到 入 侵 ， 网 络 的 损失 程度 。 

(3) 网 络 管理 员 的 经 验 。 

(4) 被 保护 网 络 的 已 有 安全 措施 。 

(5) 网 络 需 求 的 发 展 。 

(6) 防火 墙 自身 管理 的 难 易 度 。 

(7) 防火 墙 自身 的 安全 性 。 
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答 : 7145623 


4. 列举 更 多 的 防火 墙 系统 结构 ， 最 好 有 自己 的 创意 。 
答 : 已 有 防火 墙 主要 的 体系 结构 : 
1) 包 过 滤 型 防火 墙 


(1) 处 理 数 据 包 的 速度 较 快 (与 代理 服务 器 相 比 )。 

(2) 实现 包 过 滤 几 乎 不 再 需要 费用 。 

(3) 包 过 滤 路 由 器 对 用 户 和 应 用 来 说 是 透明 的 。 

缺点 : 

(1) 包 过 滤 防 火 墙 的 维护 较 困 难 。 

(2) 只 能 阻止 一 种 类 型 的 他 欺骗。 

(3) 任何 直接 经 过 路 由 器 的 数据 包 都 有 被 用 作 数 据 驱动 式 攻击 的 潜在 危险 ， 一 些 包 过 
滤 路 由 器 不 支持 有 效 的 用 户 认证 ， 仅 通过 IP 地 址 判断 是 不 是 安全 的 。 

(4) 不 能 提供 有 用 的 日 志 或 者 根本 不 能 提供 日 志 。 

(5) 随 着 过 滤器 数目 的 增加 ， 路 由 器 的 吞吐 量 会 下 降 。 

(6) IP 包 过 滤器 可 能 无 法 对 网 络 上 流动 的 信息 提供 全 面 的 控制 。 

2) 双 宿 /多 宿主 机 防火 墙 

优点 : 

(1) 可 以 将 被 保护 的 网 络 内 部 结构 屏蔽 起 来 ， 增 强 网 络 的 安全 性 。 

(2) 可 用 于 实施 较 强 的 数据 流 监控 、 过 滤 、 记 录 和 报告 等 。 

缺点 : 

(1) 使 访问 速度 变 慢 。 

(2) 提供 服务 相对 滞后 或 者 无 法 提供 。 

3) 被 屏蔽 主机 防火 墙 

优点 : 

(1) 其 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 要 高 ， 实 现 了 网 络 层 安全 〈 包 过 滤 ) 和 应 
用 层 安 全 (代理 服务 )。 

(2) 入 侵 者 在 破坏 内 部 网 络 的 安全 性 前 ， 必 须 首 先 渗透 两 种 不 同 的 安全 系统 。 

(3) 安全 性 更 高 。 

缺点 : 路 由 器 不 被 正常 路 由 。 

4) 被 屏蔽 子 网 防火 墙 

优点 : 安全 性 高 ， 若 入 侵 者 试图 破坏 防火 墙 ， 他 必须 重新 配置 连接 3 个 网 的 路 由 ， 既 
不 切断 连接 ， 同 时 又 不 使 自己 被 发 现 ， 难 度 系 数 高 。 

缺点 : 

(1) 不 能 防御 内 部 攻击 者 ， 来 自 内 部 的 攻击 者 是 从 网 络 内 部 发 起 攻击 的 ， 他 们 的 所 有 
攻击 行为 都 不 通过 防火 墙 。 

(2) 不 能 防御 绕 过 防火 墙 的 攻击 。 
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(3) 不 能 防御 全 新 的 威胁 ， 防 火 墙 只 能 用 来 防备 已 知 的 威胁 。 

(4) 不 能 防御 数据 驱动 的 攻击 。 

5) 其 他 防火 墙 体系 结构 

最 近 提 出 的 新 型 智能 防火 墙 与 传统 防火 墙 比较 ， 传 统 防火 墙 是 利用 简单 的 机 制 ， 机 械 
地 执行 安全 策略 ， 过 滤 规 则 相对 固定 、 网 络 信息 的 捕获 能 力 和 处 理 能 力 差 、 依 赖 人 工 干预 
才能 响应 新 的 变化 。 因 此 ， 它 们 不 能 有 效 地 解决 目前 新 的 网 络 安全 问题 。 而 新 一 代 的 学 习 
型 智能 防火 墙 借助 人 工 智 能 的 思想 ， 弥 补 了 传统 防火 墙 的 不 足 ， 自 身 的 安全 性 有 了 很 大 提 
高 ， 在 特权 最 小 化 、 系 统 最 小 化 、 内 核 安全 、 系 统 加 固 、 系 统 优化 和 网 络 性 能 最 大 化 方面 ， 
与 传统 型 防火 墙 相 比 有 质 的 飞跃 。 


5. 查找 资料 ， 叙 述 防 火 墙 测 试 的 内 容 和 方法 。 

答 : 首先 建立 测试 准则 ， 搭 建 测试 环境 ， 确 定 测试 项 目 ， 进 行 测试 。 

举例 说 明 : 防火 墙 设备 测试 采用 4 个 万 兆 接口 ， 接 口 为 光 口 ， 同 时 支持 850nm 多 模 和 
1310nm 单 模 光 纤 接 入 。L2-L3 层 测试 流量 为 30GB，TCP 并 发 连接 须 达 到 1000 万 。 防 火 墙 
需 配 置 在 NAT 模式 下 进行 测试 。 

A. 测试 项 目 ; L2-3 吞吐 量 测试 。 

测试 目的 : 测试 网 络 安全 设备 通过 工 2 或 L3 的 非 状 态 流量 的 最 大 流量 ， 即 吞吐 量 ， 使 
用 UDP 不 基于 状态 基 的 报 文 作为 测试 流量 。 

测试 拓扑 (图 4-1): 


DUT Management & Control 


图 4-1 防火 墙 性 能 测试 简 图 


测试 思路 : 

(1) 将 防火 墙 的 4 个 10G 端口 与 测试 仪 的 4 个 10G 端口 分 别 连接 。 

(2) 按照 RFC2544 标准 规定 ， 选 择 1514B 长 度 进行 测试 。 

(3) 测试 仪 总 共 发 送 30Gb/s 的 双向 流量 进行 测试 。 

(4) 分 别 使 用 单 模 和 多 模 的 XFP 模块 进行 测试 。 

(5) 观察 流量 的 丢 包 情况 。 

测试 预期 : 在 30GB 流量 的 压力 测试 下 ， 防 火 墙 能 够 正确 转发 ， 没 有 丢 包 。 
B. 测试 项 目 : L2-3_ 时 延 测 试 。 

测试 目的 : 测试 网 所 产生 时 延 。 使 用 UDP 不 基于 状态 基 的 报 文 作为 测试 流量 
测试 拓扑 同 图 4-1。 
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测试 思路 : 

(1) 将 防火 墙 的 4 个 10G 端口 与 测试 仪 的 4 个 10G 端口 分 别 连接 。 

(2) 按照 RFC2544 标准 规定 ， 选 择 1514B 长 度 进行 测试 。 

(3) 测试 仪 总 共 发 送 30Gb/s 的 双向 流量 进行 测试 。 

(4) 分 别 使 用 单 模 和 多 模 的 XFP 模块 进行 测试 。 

(5) 观察 收发 时 延 。 

测试 预期 : 网 络 周边 设备 延迟 不 超过 lms， 核 心 设备 延迟 不 超过 300hs。 

C. 测试 项 目 : L4_TCP 最 大 并 发 连接 数 测试 。 

测试 目的 : 测试 网 络 安全 设备 最 大 的 TCP 并 发 连接 数 。 

测试 拓扑 同 图 4-1。 

测试 思路 : 

(1) 无 数据 传输 时 最 大 TCP 连接 数理 论 值 测试 是 测试 在 没有 应 用 数据 传送 情况 下 的 最 
大 TCP 连接 数 ， 通 常 这 种 流量 在 现实 网 络 不 会 出 现 ， 但 它 可 以 反映 DUT 能 承受 的 最 大 连 
接 数 。 

a. 仪表 一 个 端口 模拟 客户 端 ， 另 一 个 端口 模拟 服务 器 端 。 

b. 由 客户 端 按照 一 定 的 每 秒 连接 数 向 服务 器 端 发 起 TCP 连接 请 求 。 

c. 客户 端 与 服务 器 端 将 不 断 建 立新 的 连接 。 

d. 当 客 户 端 与 服务 器 之 间 的 TCP 连接 超过 防火 墙 的 极限 值 时 , 新 的 连接 将 不 能 再 建立 。 

e. 此 时 的 连接 数 即 为 最 大 TCP 连接 数 的 理论 值 。 

(2) 有 数据 传输 时 最 大 TCP 连接 数理 论 值 是 测试 在 有 应 用 数据 传送 情况 下 的 最 大 TCP 

a. 仪表 的 一 个 端口 模拟 客户 端 ， 另 一 个 端口 模拟 服务 器 端 。 

b. 由 客户 端 按照 一 定 的 每 秒 连接 数 向 服务 器 端 发 起 TCP 连接 请 求 。 

c. 客户 端 与 服务 器 端 将 不 断 建 立新 的 连接 。 

d. 当 客户 端 与 服务 器 之 间 的 TCP 连接 超过 防火 墙 的 极限 值 时 , 新 的 连接 将 不 能 再 建立 。 

e. 此 时 按照 一 定 的 数据 段 大 小 传送 1GB 的 数据 流 ， 观 察 是 否 可 以 顺利 传送 。 

(3) 基于 状态 的 最 大 TCP 连接 数 。 

a. 仪表 的 一 个 端口 模拟 客户 端 ， 另 一 个 端口 模拟 服务 器 端 。 

b. 由 客户 端 按照 一 定 的 每 秒 连接 数 向 服务 器 端 发 起 TCP 连接 请 求 。 

c. 客户 端 与 服务 器 端 将 不 断 建立 新 的 连接 。 

d. 观察 TCP session 的 状态 机 。 

测试 预期 : 防火 墙 应 能 承受 1000 万 TCP 并 发 连接 。 

其 他 测试 内 容 还 包括 测试 项 目 每 秒 TCP 最 大 新 建 连接 数 、TCP 平均 建立 时 间 分 布 、 
二 /三 层 基准 转发 测试 、TCP 平均 响应 报 文 时 间 、TCP 平均 关闭 时 间 、 应 用 层 典型 带宽 混合 
业务 吞吐 量 、 应 用 响应 时 间 测 试 、SYN Flood 测试 、UDP Flood 测试 、ICMP Flood 测试 、 
设备 的 稳定 性 测试 、100 条 策略 设备 的 稳定 性 测试 、 正 常 流量 转发 中 增加 策略 的 测试 等 。 
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6. 查找 资料 ， 叙 述 防 火 墙 选 型 的 基本 原则 和 具体 标准 。 

答 : 没有 一 个 防火 墙 的 设计 能 够 适用 于 所 有 环境 ， 因 此 ， 在 选择 防火 墙 时 ， 应 根据 网 
络 和 站 点 的 特点 选择 。 如 果 站 点 对 保密 性 要 求 高 ， 就 应 该 选择 有 强大 认证 功能 的 防火 墙 ， 
如 代理 服务 或 混合 型 防火 墙 ， 如 需要 较 高 的 网 络 通信 效率 ， 网 络 接 入 带宽 较 高 ， 又 只 需 保 
障 基本 的 安全 性 能 ， 则 包 过 滤 是 较 好 的 选择 ， 如 果 站 点 连接 到 因特网 上 仅 是 为 了 接收 电子 
邮件 ， 则 根本 不 需要 防火 墙 。 

在 决定 用 防火 墙 实施 网 络 的 安全 策略 后 ， 不 管 具体 的 实施 原理 是 什么 ， 良 好 的 防火 墙 
一 般 应 具备 以 下 功能 : 

(1) 本 身 支 持 安全 策略 ， 当 网 络 的 安全 策略 改变 时 ， 就 可 加 入 新 服务 。 

(2) 必要 时 能 运用 过 滤 技 术 允 许 和 禁止 服务 ， 有 先进 的 认证 手段 ， 或 可 以 安装 先进 的 
认证 方法 。 

(3) 能 支持 “除非 明确 允许 ， 否 则 就 禁止 ”的 设计 策略 ， 可 使 用 FTP 和 Telnet (远程 
登录 ) 等 服务 代理 ， 能 根据 数据 包 的 性 质 进行 包 过 滤 ; 允许 公众 对 站 点 的 访问 。 

(4) 能 把 信息 服务 器 和 其 他 内 部 服务 器 分 开 。 


7. 简 述 攻击 防火 墙 的 主要 手段 。 

答 : 一 般 来 说 ， 防 火 墙 的 抗 攻击 性 很 强 ， 可 是 它 也 不 是 不 可 攻破 的 。 防 火 墙 也 是 由 软 
件 和 硬件 组 成 的 ， 在 设计 和 实现 上 都 不 可 避免 地 存在 着 缺陷 。 举 例 说 明 : 攻击 数据 包 过 滤 
防火 墙 。 

包 过 滤 防 火 墙 是 最 简单 的 一 种 ， 它 在 网 络 层 截获 网 络 数据 包 ， 根 据 防火 墙 的 规则 表 检 
测 攻击 行为 。 它 根据 数据 包 的 源 人 P 地 址 、 目 的 P 地 址 、TCP/UDP 源 端口 、TCP/UDP 目 
的 端口 过 滤 ， 很 容易 受到 如 下 攻击 。 

A. IP 欺骗 攻击 

IP 欺骗 攻击 主要 是 修改 数据 包 的 源 、 目 的 地 址 和 端口 ， 模 仿 一 些 合 法 的 数据 包 骗 过 防 
火 墙 的 检测 。 如 外 部 攻击 者 将 他 的 数据 报 源 地 址 改 为 内 部 网 络 地 址 ， 防 火 墙 看 到 是 合法 地 
址 就 放行 了 。 防止 P 欺骗 的 方法 是 在 网 络 的 入 口 和 出 口 点 设置 包 过 滤器 ， 外 部 入 口 点 过 滤 
器 明确 拒绝 所 有 声称 来 自 内 部 网 络 主机 的 入 站 包 ， 内 部 出 口 点 过 滤器 则 只 允许 来 自 内 部 网 
络 主机 的 出 站 包 ， 也 就 是 使 用 防火 墙 结合 接口 、 地 址 匹配 ， 达 到 防止 攻击 的 目的 。 

B. 拒绝 服务 攻击 

简单 的 包 过 滤 防 火 墙 不 能 跟踪 TCP 的 状态 ， 很 容易 受到 拒绝 服务 (Denial of Service， 
DoS ) 攻击 , 一 旦 防火 墙 受到 DoS 攻击 , 可 使 正在 使 用 的 计算 机 出 现 无 响应 、 死 机 的 现象 。 
这 种 攻击 行为 通过 发 送 一 定数 量 一 定 序列 的 报 文 ， 使 网 络 服务 器 中 充斥 了 大 量 要 求 回复 的 
信息 、 消 耗 网 络 带宽 或 系统 资源 ， 导 致 网 络 或 系统 不 胜 负荷 ， 以 致 瘫痪 、 停 止 正常 的 网 络 
服务 。 常 用 的 攻击 软件 有 同步 洪流 、WinNuke、 死 亡 之 PING、Echl 攻击 、ICMP/ SMURF、 
Finger 炸弹 、Land 攻击 、Ping 洪流 、Rwhod、tearDrop、TARGA3、UDP 攻击 、OOB 等 。 

对 策 : 通过 限制 系统 可 接受 的 TCP 连接 个 数 及 缩短 连接 保持 在 半 开 状态 的 时 间 《〈 即 
TCP 的 三 次 握手 已 经 初始 化 但 没有 最 终 完 成 的 那 段 时 间 ), 可 以 降低 或 消除 SYN 溢出 攻击 
所 带 来 的 影响 ， 还 可 以 限制 Ping 包 的 大 小 ， 使 在 重组 卫 分 段 时 不 发 生 溢出 。 
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C. 协议 隧道 攻击 

协议 隧道 的 攻击 思想 类 似 于 VPN 的 实现 原理 ， 攻 击 者 将 一 些 恶 意 的 攻击 数据 包 隐 茂 
在 一 些 协议 分 组 的 头 部 ， 从 而 穿 透 防火 墙 系统 对 内 部 网 络 进行 攻击 。 例 如, 许多 允许 ICMP 
回 射 请 求 、ICMP 回 射 应 答 和 UDP 分 组 通过 的 防火 墙 就 容易 受到 ICMP 和 UDP 隧道 的 
攻击 。Loki 和 lokid( 攻击 的 客户 端 和 服务 端 ) 是 实施 这 种 攻击 的 有 效 工 具 。 在 实际 攻击 
中 , 攻击 者 首先 必须 设法 在 内 部 网 络 的 一 个 系统 上 安装 lokid 服务 端 , 而 后 攻击 者 就 可 以 通 
过 loki 客户 端 将 希望 远程 执行 的 攻击 命令 (对 应 人 P 分 组 ) 柑 入 在 ICMP 或 UDP 包头 部 ， 
再 发 送 给 内 部 网 络 服务 端 lokid， 由 它 执行 其 中 的 命令 ， 并 以 同样 的 方式 返回 结果 。 由 于 许 
多 防火 墙 允许 ICMP 和 UDP 分 组 自由 出 入 ， 因 此 攻击 者 的 恶意 数据 就 能 附带 在 正常 的 分 
组 ， 绕 过 防火 墙 的 认证 ， 顺 利 地 到 达 攻击 目标 主机 。 启 动 lokid 服务 器 程序 的 命令 ; lokid- 
p- 工 vl。 启 动 loki 客户 程序 的 命令 : loki-d172.29.11.191 (攻击 目标 主机 )-p- 工 vl- t3。 这 
样 ，lokid 和 loki 就 联合 提供 了 一 个 穿 透 防火 墙 系统 访问 目标 系统 的 一 个 后 门 。 

D. 利用 FTP- pasv 绕 过 防火 墙 认证 的 攻击 

目前 很 多 防火 墙 不 能 过 滤 这 种 攻击 手段 ， 如 Checkpoint 的 Firewall-1 在 监视 FTP 服 
务 器 发 送 给 客户 端的 包 的 过 程 中 , 它 在 每 个 包 中 寻找 “227” 这 个 字符 串 。 如果 发 现 这 种 包 ， 
将 从 中 提取 目标 地 址 和 端口 , 并 对 目标 地 址 加 以 验证 ,通过 后 , 将 允许 建立 到 该 地 址 的 TCP 
连接 。 攻 击 者 通过 这 个 特性 ， 可 以 设法 连接 受 防 火 墙 保护 的 服务 器 和 服务 。 

E. CGI 漏洞 攻击 

CGI 即 通用 网 关 接口 ， 是 外 部 程序 和 HTTP 服务 器 进行 信息 交互 的 一 种 标准 。 由 于 它 
是 实时 执行 的 ， 所 以 返回 的 信息 也 是 动态 的 ， 它 也 是 当前 网 络 上 应 用 最 广 的 Web。 由 于 防 
火 墙 必须 开放 Web 服务 ， 利 用 CGI 问题 突破 防火 墙 的 防护 ， 部 分 或 全 部 控制 服务 器 成 为 
攻击 防火 墙 的 重要 手段 。 

CGI 的 安全 问题 主要 有 两 个 方面 : 一 是 Web 服务 器 的 安全 问题 , 包括 Web 服务 器 软 
件 设计 中 的 Bug 及 服务 器 配置 错误 ， 这 些 错 误会 引起 CGI 源 代码 泄露 、 物 理 路 径 信息 泄 
露 、 系 统 敏感 信息 泄露 或 可 以 远程 执行 任意 指令 等 安全 问题 。 二 是 CGI 语言 的 安全 问题 ， 
这 类 问题 较 多 ， 如 CGI 程序 和 数据 文件 的 权限 设置 不 当 可 能 导致 CGI 源 代码 和 敏感 信息 
泄露 ，CGI 程序 的 边界 条 件 错 误 可 能 被 攻击 者 利用 发 起 缓冲 区 溢出 攻击 ; 访问 验证 错误 导 
致 未 授权 访问 ， 修 改 甚至 删除 没有 访问 权限 的 内 容 ， 来 源 验证 错误 被 攻击 者 利用 进行 拒绝 
访问 数据 给 受 攻击 者 。 简 言 之 , 攻击 者 观察 和 控制 着 受 攻击 者 在 Web 上 做 的 每 一 件 事 。 目 
前 在 各 种 系统 中 ，CGI 程序 的 安全 漏洞 数不胜数 ， 如 / cgi-bin 目录 下 的 count.cgi 程序 
(wwwcount 2.3 版 ) 中 有 一 个 溢出 错误 ， 人 允许 入 侵 者 无 须 登 录 便 能 远程 执行 任何 指令 ， 在 
/scripts/ tools/ 目 录 下 的 uploadx.asp 程序 , 只 要 入 侵 者 有 一 个 可 用 账号 , 哪怕 是 guest 账号 ， 
也 可 以 上 传 任何 文件 到 Web 目录 ， 除 替换 主页 外 ， 还 可 以 进一步 控制 整个 系统 。 许 多 黑客 
软件 可 以 实现 CGI 漏洞 或 绕 过 防火 墙 设置 CGI 后 门 ,如 软件 Voideye 2000 可 以 扫描 119 
个 CGI 漏洞 ， 软 件 Twwwscan V1.2 可 以 扫描 400 多 个 WWW/CGI 漏洞 ， 而 软件 cgi- 
backdoor 可 以 绕 过 防火 墙 在 主机 上 放置 CGI 木马 。 

采取 以 下 策略 有 助 于 加 强 CGI 的 安全 : 正确 配置 服务 器 ; 正确 安装 CGI 程序 ， 删 除 
不 必要 的 安装 文件 和 临时 文件 ; 编写 CGI 程序 时 使 用 安全 的 函数 ; 使 用 安全 有 效 的 用 户 身 
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份 验证 方法 ， 过 滤 特 殊 字 符 ; 培养 良好 的 编程 习惯 等 。 


8. 查找 资料 ， 简 述 目 前 国内 外 防火 墙 技术 发 展 的 现状 和 自己 对 防火 墙 的 未 来 的 设想 。 

答 : 防火 墙 技 术 的 发 展现 状 分 4 种 ， 具 体 说 明 如 下 。 

(1) 包 过 滤 技 术 : 该 项 技术 主要 经 历 了 4 个 阶段 的 发 展 。 首 先是 静态 包 过 滤 防 火 墙 ， 
即 传统 的 边界 防火 墙 的 发 展 ， 它 和 路 由 器 同时 出 现 ， 此 技术 虽 简单 、 透 明 、 高 速 ， 但 在 安 
全 性 能 上 没有 很 好 的 保障 。 

(2) 动态 包 过 滤 技 术 ， 该 技术 解决 了 存在 于 静态 包 过 滤 技 术 的 安全 限制 问题 ， 也 提供 
了 更 好 的 性 能 ， 在 目前 应 用 较 普遍 ， 但 随 主动 攻击 的 增长 ， 该 技术 也 将 面临 巨大 的 挑战 。 

(3) 全 状态 检测 防火 墙 技术 ， 该 技术 对 传输 层 的 控制 能 力 有 了 很 大 的 提高 ， 通 过 采用 
一 系列 优化 技术 改进 了 流量 的 处 理 速度 ， 使 其 性 能 得 到 大 幅 提升 ， 是 当前 的 主流 技术 。 

(4) 深度 包 检 测 防 火 墙 技 术 ， 该 技术 通过 指纹 匹配 、 异 常 检测 、 启 发 式 和 统计 学 分 析 
技术 等 对 数据 包 进行 处 理 。 它 能 阻止 DDoS 攻击 、 病 毒 传播 ， 解 决 高 级 应 用 入 侵 问题 。 该 
项 技术 一 定 程度 上 代表 了 防火 墙 技术 的 发 展 方向 。 

防火 墙 技术 未 来 发 展 趋势 包括 以 下 3 个 方面 。 

(1) 包 过 滤 技 术 的 发 展 方向 ， 首 先 应 开发 使 用 多 级 过 滤 技 术 ， 对 URL 及 内 容 进 行 有 效 
过 滤 ， 很 好 地 对 中 源 地 址 、 数 据 包 及 进出 网 络 的 内 容 检测 ， 这 种 综合 型 过 滤 技术 的 应 用 有 
利于 防火 墙 技术 的 扩展 。 其 次 是 加 强 防火 墙 技术 的 病毒 防护 能 力 ， 有 效 遏 止 病 毒 的 网 络 传 
播 ， 为 网 络 用 户 减少 损失 。 

(2) 防火 墙 体系 结构 的 发 展 方向 , 我 们 需要 开发 一 种 防火 墙 , 能 提高 数据 处 理 的 效率 
使 数据 通过 防火 墙 时 受到 的 延迟 足够 小 ， 减 轻 CPU 的 负担 ， 并 能 够 高 效 、 灵 活 运用 。 

(3) 防火 墙 系统 管理 体系 的 发 展 方向 ， 首 先是 集中 式 管理 ， 分 层 的 安全 结构 及 分 布 式 
发 展 是 将 来 的 趋势 ， 这 样 既 可 以 使 管理 成 本 降低 ， 也 能 保证 大 型 网 络 的 安全 。 其 次 是 审计 
和 日 志 的 自动 分 析 功 能 要 增强 ， 以 便于 及 时 发 现 安全 漏洞 、 潜 在 的 威胁 和 可 能 的 攻击 性 行 
为 ， 加 强 网 络 的 安全 管理 。 

另外 ， 新 一 代 智 能 防火 墙 技术 需要 得 到 研究 与 发 展 ， 以 能 更 好 地 保证 信息 安全 ， 保 障 
网 络 高 效应 用 。 


9. 收集 资料 ， 对 当前 常用 的 防火 墙 产 品 进行 分 析 比 较 ， 详 细 描述 其 中 的 3 种 防火 墙 产 
品 的 用 法 以 及 升级 方法 。 

答 : 除了 常用 的 包 过 滤 、 应 用 代理 和 混合 型 防火 墙 外 ， 全 状态 检测 防火 墙 〈full state 
inspection) 是 由 一 个 知名 防火 墙 厂 家 Checkpoint 提出 的 一 种 新 型 防火 墙 ， 据 Checkpoint 关 
于 Firewall-1 技术 文档 的 介绍 ， 该 种 防火 墙 既 能 具有 包 过 滤 的 功能 ， 又 能 具有 代理 防火 墙 的 
安全 性 。Firewall-1 拥有 一 个 强大 的 检测 模块 (inspection model)， 该 模块 可 以 分 析 所 有 的 包 
通信 层 ， 并 提取 相关 的 通信 及 应 用 状态 信息 。Firewall-1 的 检查 模块 位 于 操作 系统 的 核心 ， 
位 于 链 路 层 和 网 络 层 之 间 ， 因 此 ， 任 何 包 未 通过 该 模块 检验 之 前 将 不 会 交 给 更 高 的 协议 层 
处 理 。 据 说 状态 检测 可 以 支持 所 有 主要 的 因特网 服务 和 上 百 种 应 用 程序 ， 如 E-mail、FTP、 
Telnet、Oracle SQL*Net 数据 库存 取 和 新 兴 的 多 媒体 应 用 程序 ， 如 RealAudio、VDOLive。 
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还 有 ， 自 适应 代理 防火 墙 是 Network Associate 公司 提出 的 新 一 代 防 火 墙 。 在 自 适应 防火 墙 
中 ， 在 每 个 连接 通信 的 开始 仍然 需要 在 应 用 层 接受 检测 ， 而 后 面 的 包 可 以 经 过 安全 规则 由 
自 适应 代理 程序 自动 选择 是 使 用 包 过 滤 ， 还 是 代理 。 自 适应 代理 模块 是 依靠 动态 包 过 滤 模 
块 得 知 通 信 连 接 的 情况 ， 当 一 个 连接 到 来 时 ， 动 态 包 过 滤 将 通知 代理 并 提供 源 和 目的 的 信 
息 ， 然 后 自 适 应 代理 根据 管理 员 关 于 “安全 与 性 能 ”选择 的 配置 灵活 地 为 每 个 连接 指定 相 
应 的 策略 。 

在 自 适应 代理 中 ， 动 态 包 过 滤 允 许 代理 要 求 新 连接 的 通知 ， 接 着 代理 就 可 以 检查 每 个 
具体 的 连接 信息 ， 告 诉 动态 包 过 滤 接 下 去 应 该 对 该 包 做 如 何 处 理 ， 如 丢弃 ， 转 发 还 是 将 包 
提 到 应 用 层 检 查 。 动 态 包 过 滤 对 每 个 连接 采用 的 过 滤 规 则 都 是 由 代理 自动 调整 的 。 

虽然 Network Associate 的 这 套 自 适应 代理 技术 具有 一 定 的 先进 性 ， 但 据说 并 未 完全 被 
该 公司 所 实现 ， 因 此 该 公司 的 技术 文档 中 很 难 有 关于 自 适应 代理 的 详细 资料 。 由 于 国外 的 
网 络 安全 要 比 国内 发 展 得 早 ， 而 且 国 外 的 软 硬 件 技术 水 平 也 要 比 国内 高 ， 因 此 国外 的 防火 
墙 产品 自然 比 国内 的 产品 更 加 成 熟 和 先进 。 所 以 ， 这 里 将 国外 防火 墙 中 运用 的 先进 技术 提 
出 来 加 以 分 析 。 这 些 技术 可 分 成 以 下 三 大 类 。 

(一 ) 性 能 实现 

随 着 网 络 速度 的 不 断 提升 ， 防 火 墙 的 性 能 越 来 越 成 为 国外 厂家 关注 的 问题 ， 他 们 一 般 
从 硬件 、 操 作 系统 和 检测 方法 方面 作 改进 。 

(1) 专用 硬件 。 

使 用 专用 的 硬件 以 NetScreen 防火 墙 最 为 典型 ，NetScreen 防火 墙 之 所 以 具有 很 好 的 性 
能 ， 是 和 采用 专用 硬件 设计 分 不 开 的 。 在 每 个 NetScreen 设备 中 ， 都 有 ASIC (Application 
Specific Integrated Circuit) 芯片 ， 这 些 专用 的 ASIC 芯片 主要 起 到 加 速 防火 墙 策略 检查 、 加 
密 、 认 证 ， 以 及 PKI 过 程 功能 。 例 如 ， 所 有 的 规则 都 存储 在 一 个 特定 的 存储 区 里 ， 当 硬件 
引擎 每 次 需要 检查 规则 时 ， 就 去 扫描 存储 区 。 因 此 ， 检 查 一 条 规则 或 20 条 以 上 的 规则 并 不 
会 使 性 能 有 什么 重大 的 不 同 。 

男 一 方面 ， 为 了 使 硬件 和 软件 处 理 达 到 最 佳 配合 ，NetScreen 使 用 了 高 速 的 多 总 线 体系 
结构 ， 该 体系 结构 中 的 每 个 ASIC 芯片 都 配 有 一 个 RSIC 处 理 器 、SDRAM 和 以 太 网 接口 。 
因此 ，NetScreen 特有 的 硬件 体系 结构 的 设计 比 使 用 公共 的 PC 硬件 的 防火 墙 产品 性 价 
比 高 。 

(2) 专用 实时 代 入 式 操 作 系统 。 

NetScreen 使 用 专门 的 ASIC 硬件 设计 之 后 ， 在 操作 系统 也 采用 了 专用 的 嵌入 式 操 作 系 
统一 一 ScreenOS。 在 NetScreen 防火 墙 中 ， 每 个 RISC 处 理 器 都 运行 ScreenOS。ScreenOS 
是 一 个 强 安全 ， 低 维护 费用 ， 专 门 为 ASIC 线路 设计 的 实时 嵌入 式 操作 系统 。ScreenOS 的 
任务 主要 有 三 方面 。 首 先 ，ScreenOS 支持 从 WebUI (Web 界面 ) 和 CLI (用 户 界 面 ) 获取 
配置 ， 管 理 和 监控 任务 。 其 次 ，ScreenOS 和 高 性 能 的 TCP/IP 引擎 集成 并 与 ASIC 芯片 紧密 
合作 完成 包 的 检测 和 转发 的 功能 。 最 后 ， 由 于 ScreenOS 不 像 其 他 公用 的 操作 系统 平台 受到 
连接 表 和 处 理 数 目的 限制 ， 因 此 一 般 ScreenOS 每 秒 能 支持 的 TCP 并 发 连接 数 可 达到 
19 600 个 。 

NetScreen 专用 ASIC 硬件 和 专用 ScreenOS 操作 系统 如 何 配 合 , 才能 在 对 安全 策略 的 处 
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理 方面 达到 高 性 能 ? NetScreen 对 包 的 检测 主要 分 如 下 几 个 步骤 : 首先 ， 进 来 的 包 在 网 络 
被 拦截 ，ScreenOS 提供 包 的 格式 和 框架 的 检查 ， 以 辨认 是 否 是 畸形 包 。 其 次 ， 如 果 包 是 
法 的 ，ScreenOS 将 检查 该 包 是 否 属于 存在 的 TCP 会 话 。 再次, 如 果 该 包 所属 的 TCP 会 话 
确 存 在 ,那么 ScreenOS 将 检查 TCP 包 的 序列 号 和 代码 域 , 证 明 包 真 正 属于 该 会 话 。 如 果 该 
包 不 属于 一 个 已 存在 的 TCP 会 话 ， 那 么 ASIC 芯片 要 检测 该 包 是 否 符合 安全 策略 ， 如 果 不 
符合 安全 策略 ， 则 丢 包 ,和 否则 建立 新 的 连接 通信 。NetScreen 防火 墙 对 包 的 处 理 过 程 如 图 4-2 


所 示 。 


号 东江 


坏 包 检测 
a ~ 
Y [一 一 一 | 检查 序列 号 
检查 连接 表 
N 
到 
检查 连接 状态 
查找 策略 表 
< > N 
SIC 
N 
建立 新 的 对 话 | 一 一 一 一 | 转化 地 址 或 路 由 
1 1 
传输 包 丢 包 并 记录 


图 4-2 NetScreen 防火 墙 对 包 的 处 理 过 程 


(3) 多 CPU 和 大 容量 RAM。 

除 使 用 专用 的 硬件 和 软件 设计 , 大 多 数 的 硬件 防火 墙 都 采用 通用 PC 系统 和 通用 的 操作 
系统 ， 如 linux、Solaris、Windows 等 。 这 些 厂家 为 了 提高 整体 硬件 的 性 能 ， 一 般 增加 参加 
并 行 处 理 的 CPU 数目 以 及 RAM 的 容量 。CyberGuard 防火 墙 就 是 一 个 典型 的 例子 ， 该 防火 
墙 使 用 的 CPU 数 达 到 4 个 ， 而 RAM 的 容量 为 1GB。 

(4) 检测 算法 改进 。 

前 面 都 是 从 硬件 和 操作 系统 方面 提高 防火 墙 的 性 能 ， 另 一 个 提高 防火 墙 的 方法 则 是 从 
数据 包 的 检测 方法 上 提高 性 能 。 以 下 是 由 几 种 典型 的 包 检 测 的 改进 方法 。 

首先 ， 就 是 前 面 提 到 的 全 状态 检测 。Checkpoint Firewall-1 的 检测 模块 的 工作 都 在 操作 
系统 的 内 核 完成 ， 它 可 以 检测 所 有 七 层 通信 协议 ， 并 且 可 以 分 析 包 的 状态 信息 。 因 此 既 能 
保证 包 检测 的 性 能 ， 又 能 保证 包 检 测 的 全 面 性 。 之 所 以 Firewall-1 检测 模块 能 做 到 检测 应 用 
层 ， 是 因为 Firewall-1 对 人 P 包 的 内 部 结构 很 清楚 ， 因 此 检测 模块 可 以 从 包 的 应 用 内 容 中 提 
取 数 据 并 将 其 保存 下 来 ， 为 后 面 的 包 提供 必要 的 状态 信息 。Firewall-l 检测 模块 的 工作 原理 
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图 如 图 4-3 所 示 。 


应 用 层 
对 话 层 
传输 层 
网 络 层 
检测 模块 
数据 链 路 层 
物理 层 


图 4-3 Firewall-1 检测 模块 的 工作 原理 图 


其 次 ， 就 是 自 适 应 代理 。 自 从 Network Associates 的 防火 墙 使 用 了 自 适应 代理 体系 结 
构 ， 由 于 只 在 防火 墙 检测 到 可 疑 通信 量 时 才 启 用 代理 ， 因 此 在 启用 NAT 后 ，Gaunlet 防火 墙 
的 性 能 比 NetScreen 和 Checkpoint 甚至 更 好 。 由 于 在 NetWork Associates 中 找 不 到 更 多 的 关 
于 自 适 应 代理 的 资料 ， 因 此 对 自 适应 代理 基本 原理 的 描述 只 局 限于 前 面 提 到 的 一 部 分 。 

再 次 ， 是 MAC 层 状 态 检 测 。 这 是 NetGuard 公司 为 其 防火 墙 提出 的 一 种 检测 方法 ， 由 
于 包 的 检测 处 于 MAC 层 ,， 因 此 能 很 明显 地 提高 防火 墙 的 性 能 ， 并 且 使 得 它 对 操作 系统 安全 
漏洞 具有 免疫 功能 。 

最 后 ， 快 速 代理 〈cut-through proxy)。 这 是 由 Cisco 公司 对 代理 性 能 的 一 种 改进 ， 但 是 
这 种 改进 是 否 安 全 还 须 考证 。Cisco 认为 一 个 代理 服务 器 必须 对 包 进 行 七 层 协议 的 检查 是 很 
浪费 时 间 的 ， 而 PIX 防火 墙 只 是 对 每 个 通信 连接 的 开始 通过 认证 服务 器 进行 必要 的 用 户 认 
证 (如 外 部 用 户 采用 一 次 性 口令 ), 然后 就 可 建立 起 直接 的 数据 流 , 这 样 速度 自然 要 快 得 多 。 
Cisco 在 检测 安全 时 还 使 用 了 适应 性 安全 算法 (adaptive security algorithm)， 该 算法 接近 状 
态 检 测 ， 它 将 防火 墙 连接 的 网 络 进行 安全 分 级 ，ASA 算法 遵守 下 列 规则 : 每 个 包 必 须 经 过 
状态 检查 ， 除 了 被 安全 策略 拒绝 ， 任 何 从 安全 区 域 向 相对 不 安全 区 域 发 的 包 放行 ， 除 了 被 
安全 策略 允许 ， 任 何 从 相对 不 安全 区 域 向 安全 区 域 发 的 包 拒 绝 ， 所 有 ICMP 包 除 被 指定 允 
许 外 ， 都 拒绝 。 从 Cisco 提出 的 ASA 算法 和 cut-through proxy 的 方案 可 以 看 出 ，Cisco 是 想 
通过 牺牲 安全 度 来 换取 性 能 。 

(二 ) 功能 实现 

防火 墙 的 功能 多 种 多 样 ， 国 外 各 个 厂家 一 方面 都 提供 了 一 些 防火 墙 基本 功能 和 常见 功 
能 ， 另 一 方面 也 有 自己 的 一 些 特色 功能 。 防 火 墙 的 基本 功能 和 常见 的 功能 (如 NAT、PAT、 
内 容 过 滤 、 负 载 平衡 、 高 可 靠 性 、 透 明 模 式 等 网 盾 防 火 墙 ) 已 基本 实现 ， 下 面 对 未 常见 的 
一 些 功能 进行 简单 描述 。 
(1) 多 种 身份 认证 体系 和 灵活 的 认证 方法 。 
于 现今 各 种 操作 系统 都 支持 多 种 认证 方案 ， 因 此 许多 防火 墙 厂商 为 用 户 提供 了 多 种 
认证 体系 ， 以 便 用 户 使 用 。 例 如 ，Checkpoint 认证 体系 大 概 有 7 种 : 防火 墙 口令 、RADIUS 
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或 TACACS/TACACS+ 服 务 器 、 数 字 证 书 、S/Key、SecurID Tokens 、Axent Pathways 
Defender、OS 口令 。 

为 了 使 防火 墙 用 户 能 灵活 地 控制 认证 对 象 ，Checkpoint 还 提供 了 3 种 不 同 的 认证 方法 : 
用 户 认证 、IP 地 址 认证 、 对 话 认 证 (基于 每 个 对 话 对 每 个 服务 作 认 证 )。 

最 后 一 个 是 许多 公司 提出 的 透明 的 用 户 ID 和 地 址 认证 服务 体系 。 该 种 透明 认证 的 实现 
是 通过 将 Windows NT 的 域 认 证 方案 和 它 的 防火 墙 合 为 一 体 。 该 透明 的 认证 服务 可 以 自动 捕 
捉 Windows NT 系统 的 登录 信息 和 本 机 动态 分 配 的 地 址 , 然后 这 些 捕捉 到 的 信息 就 可 以 直接 
作为 防火 墙 认证 的 信息 ， 这 样 就 可 以 做 到 用 户 透明 认证 。 

(2) 防 病 毒 检测 。 

很 多 防火 墙 都 增加 了 防 病 毒 功 能 , 一 般 是 通过 集成 第 三 方 的 防 病毒 软件 实现 的 , 例如 ， 
Checkpoint 通过 它 的 CVP〈Content Vectoring Protocol) 服务 器 集成 第 三 方 的 防 病毒 产品 。 
如 果 防 火 墙 的 FTP 服务 需要 病毒 检测 , 那么 防火 墙 就 会 拦截 FTP 传送 的 文件 送 往 CVP 服务 
器 接受 检测 ， 然 后 防火 墙 再 根据 CVP 服务 器 的 检查 处 理 该 FTP 的 连接 。 

(3) 入 侵 检测 。 

在 防火 墙 中 绑 定 入 侵 检测 也 是 现在 国外 增强 防火 墙 安全 性 的 一 种 重要 方法 。 防 火 墙 对 
安全 的 手段 一 般 趋 于 静态 ， 而 入 侵 检测 则 趋 于 动态 ， 对 安全 的 防范 做 到 动静 结合 是 很 多 厂 
家 的 想法 。 但 是 ， 做 到 入 侵 检测 和 防火 墙 真正 紧密 配合 还 是 要 花 一 定 的 功夫 。 例 如 ， 入 侵 
检测 是 否 可 以 根据 检测 到 的 情况 直接 对 防火 墙 进行 动态 控制 ? 

(4) 多 媒体 服务 支持 。 

互联 网 的 多 媒体 应 用 在 企业 和 用 户 中 已 经 很 流行 了 ， 但 是 多 媒体 应 用 由 于 要 求 打 开 许 
多 端口 ， 也 给 网 络 安全 带 来 一 定 的 威胁 。 由 于 多 媒体 应 用 的 一 个 重要 特征 是 数据 量 大 而 且 
要 求 速度 快 , 因此 对 付 防 火 墙 的 安全 性 检查 的 性 能 就 需要 一 定 的 要 求 , Cisco 公司 的 产品 PIX 
对 多 媒体 应 用 很 重视 ， 他 自称 可 以 做 到 性 能 和 安全 兼 得 。 他 们 支持 的 多 媒体 应 用 包括 
RealAudio、Streamworks、CU-SeeMe、Internet Phone、IRC、Vxtreme、VDO Live。 

(5) VPN。 

VPN 是 指 在 公共 通信 通道 中 使 用 虚拟 隧道 的 技术 ， 由 于 这 种 应 用 的 客户 需求 很 大 ， 因 
此 几乎 所 有 的 防火 墙 厂家 都 将 它 与 防火 墙 绑 定 。 他 们 都 将 管理 简易 、 高 速 吞 吐 量 和 强 有 力 
的 安全 特性 作为 衡量 VPN 好 坏 的 标准 。 

CommWeb 和 Network Test Inc 进行 合作 测试 ， 最 后 发 现 有 3 个 网 关 能 够 提供 安全 性 、 
可 扩展 性 、 使 用 简单 和 价格 性 能 比 的 最 佳 组 合 。 具 有 最 高 水 平 的 设备 是 来 自 NetScreen 
Technologies Inc 的 NetScreen-100， 它 没有 安全 问题 ， 在 我 们 测试 的 任何 设备 中 都 具有 最 高 
的 吞吐 量 ， 同 时 有 一 个 比较 公平 的 价格 。 来 自 Cisco Systems Inc 的 Cisco 7100 VPN 路 由 器 
和 其 他 测试 设备 相 比 ， 提 供 更 加 强大 的 安全 性 能 ， 具 有 优秀 的 管理 特点 ， 同 时 支持 更 多 的 
并 发 连接 ， 尽 管 其 价格 高 了 一 些 。Lucent Technologies 的 VPN Firewall Brick 80 在 我 们 测试 
的 高 端 设备 中 提供 非常 好 的 管理 性 能 、 极 佳 的 参数 和 最 好 的 性 价 比 。 

(三 ) 管理 

防火 墙 的 功能 和 性 能 固然 重要 ， 但 是 系统 管理 员 是 通过 防火 墙 的 管理 界面 控制 防火 墙 
的 ， 提 供 一 个 系统 、 灵 活 、 简 单 且 直 观 的 管理 也 是 防火 墙 吸引 客户 的 一 个 重要 方面 。 因 此 ， 


972 。 


国外 的 厂家 在 管理 界面 方面 也 下 了 一 定 功夫 ， 成 为 他 们 宣传 中 的 一 个 亮点 。 

(1) 基于 客户 机 /服务 器 的 管理 方式 。 

Checkpoint 的 管理 具有 它 的 独特 性 , 而 且 它 的 管理 方式 在 业界 享有 盛誉 , 因此 给 我 留 下 
很 深 的 印象 。Checkpoint 的 管理 模式 是 基于 客户 机 /服务 器 方式 的 ， 如 图 4-4 所 示 。 这 种 管 
理 方式 具有 高 性 能 、 可 扩展 、 集 中 管理 等 优点 。 在 这 种 模式 下 ， 管 理 员 可 以 通过 单一 的 用 
户 界 面 对 公 司 中 的 网 络 安全 设备 进行 配置 、 管 理 和 监控 。 这 种 管理 模式 由 三 部 分 组 成 : 用 
户 界面 (GUID)、 管 理 服务 器 、 网 络 安全 模块 。 其 中 ， 管 理 服务 器 相当 于 安全 数据 库 ， 它 储 
存 了 网 络 对 象 定义 、 用 户 定义 、 安 全 策略 、 所 有 网 络 安全 设备 的 日 志文 件 等 信息 。 然 后 
管理 服务 器 将 这 些 安全 策略 下 载 到 各 网 络 安全 设备 。 还 有 各 个 安全 设备 的 升级 问题 也 可 以 
管理 服务 器 统一 管理 ， 只 要 更 新 管理 服务 器 上 的 版 本 ， 需 要 更 新 的 安全 设备 就 会 觉察 到 
这 种 改变 接着 从 管理 服务 器 上 下 载 更 新 文件 自动 更 新 自己 。 


本 
用 户 界面 管理 服务 器 0 


路 由 、 网 关 、VPN 、Firewall-1、 
入 侵 检测 等 服务 器 


图 4-4 分 布 式 客户 /服务 器 管理 模式 


(2) 简单 的 面向 对 象 管理 思想 。 

Checkpoint 对 安全 策略 的 配置 是 基于 面向 对 象 思想 的 .他们 把 网 络 资源 (网 段 、. 路 由 器 、 
网 关 、 服 务 ) 看 作 是 一 个 对 象 ， 这 些 对 象 都 有 一 套 各 自 的 属性 ， 如 姓名 、 卫 地 址 或 范围 、 
NAT 等 。 然 后 ， 定 义 好 的 对 象 就 可 以 在 规则 策略 表 (rule base) 中 方便 地 使 用 。 因 此 ， 为 整 
个 网 络 通信 定义 的 规则 策略 表 显 得 非常 简练 、 清 楚 。 该 规则 表 的 原型 可 以 在 FirewallLl 的 
demo 中 看 到 。 

(3) 视觉 化 策略 编辑 。 

为 了 使 管理 员 对 整个 网 络 的 结构 有 一 个 直观 的 理解 , Checkpoint 的 界面 使 网 管 者 可 以 检 
视图 形 化 的 整体 网 路 安全 部 署 架 构 ， 同 时 管理 安全 政策 。「 视 觉 化 策略 编辑 」 会 显示 进入 企 
业 网 路 的 连 线 ， 而 任何 安全 政策 的 改变 都 会 显示 在 「 视 觉 化 策略 编辑 」 的 图 示 中 ， 以 真实 
反映 网 路 安全 的 状况 ， 同 时 确保 较 高 等 级 的 安全 。 

(4) 多 种 管理 方式 。 

于 管理 员 控制 设备 的 习惯 各 异 ， 而 且 配 置 过 程 中 实际 情况 不 同 ， 因 此 为 管理 员 准 备 
多 种 配置 方式 很 有 必要 。 基 本 方式 有 带 Web 服务 器 ， 方 便 地 通过 流行 的 浏览 器 进行 管理 ; 
Windows 95/NT/2000 图 形 界面 : 可 关闭 远程 的 管理 方式 ， 只 用 本 地 的 安全 的 管理 ，SNMP 
管理 方式 : 通过 网 络 管理 软件 管理 ， 命 令 行 界面 : 支持 批 处 理 方式 及 通过 调制 解 调 器 的 备 
用 渠道 进行 控制 。 
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10. 浏览 最 热门 的 3 个 防火 墙 技术 网 站 ， 综 述 目前 关于 防火 墙 讨论 的 热点 问题 。 

答 : 下 一 代 防 火 墙 (NGFW) 网 址 : 

(1) Cisco。 

https://www.cisco.com/c/zh_cn/products/security/firewalls/index.html?ccid=cc000291&dtid 
=psebdu000857&oid=0&POSITION=SEM&COUNTRY SITE=cn&CAMPAIGN=sc-06&CREA 
TIVE=CN_SEM _ SEC Fire-AO PM_ NB-Fire%7cAO psebdu000857 cc000291 0&REFERRING 
SITE=Baidu&KEYWORD=%E9%98%B2%E7%81%AB%ES%A2%I99 Rdclid=COPLhfGGhNs 
CFcgNKgod4l0IBA: 

热点 问题 ， 下 一 代 防 火 墙 的 5 个 选择 技巧 ， 针 对 高 级 攻击 的 高 级 防御 ， 应 用 可 视 性 和 
可 控 性 ， 下 一 代 防 火 墙 资源 中 心 。 

(2) 深信 服 科技 。 

http://www.sangfor.com.cn/product/safety-perimeter-security-af.html?utm source=baidu&utm 
medium=PC&utm campaign=03 pc %CF%C2%D2%BB%B4%FA%B7T%CO%BB%FO0%C7%B 
DAF %C8%AB%BIWFA Dé&utm content=AF-%BA%CB%DO%C4%B4%CARutm term=%B 
7T%CO%BB%FO%CT%BD%D3%B2%BCW%FE 

热点 问题 ， 未 知 威胁 检测 ， 威 胁 情报 ， 安 全 云 。 

(3) https://comodo.cn/ 科 摩 多 。 

热点 问题 : Korugan 统一 威胁 管理 ,一 站 式 网 络 和 终端 保护 的 Korugan 统一 威胁 管理 设 
备 ， 使 用 BIND DNS 关键 更 新 ， 互 联网 系统 协会 (ISC) 已 经 发 布 了 安全 更 新 ， 以 解决 多 个 
BIND 的 漏洞 ， 移 动 设备 管理 器 3.0。 


11. 有 一 个 内 部 网 〈192.168.20.0) 只 与 某 一 台 外 部 主机 〈172.1652.55) 交换 数据 。 写 
出 位 于 它们 之 间 的 数据 包 过 滤 规 则 。 
答 ; 只 允许 源 或 目的 一 地 址 为 172.165.2.55 的 数据 包 通 过 。 


12. 比较 包 过 滤 、 网 络 地址 转换 和 代理 技术 的 特点 以 及 适用 的 环境 。 

答 : (1) 数据 包 过 滤 技术 的 特点 : 

数据 包 过 滤器 工作 在 网 络 的 底层 (IP 层 ), 在 网 络 中 适当 的 位 置 上 对 数据 包 实 施 有 选择 
的 过 滤 。 当 数据 包 通 过 时 ， 过 滤 系 统 (路 由 器 、 网 桥 或 单独 的 主机 ) 将 检查 数据 包 的 下 头 
和 TCP 头 或 UDP 头 ， 根 据 既 定 原则 决定 是 否 允许 数据 包 通 过 。 数 据 包 过 滤 的 工作 原理 如 
图 4-5 所 示 。 

按 源 地 址 进行 过 滤 是 最 简单 的 数据 包 过 滤 方 式 。 防 火 墙 只 检查 数据 包 的 目标 地 址 和 源 
地 址 ， 根 据 规则 决定 是 否 允许 该 包 通 过 。 采 用 这 种 方式 的 典型 产品 有 美国 Cisco 公司 提供 
的 防火 墙 。 采 用 基于 路 由 器 的 包 过 滤器 作为 防火 墙 ， 可 以 提供 廉价 、 有 效 并 具有 一 定 网 络 
安全 的 环境 。 它 对 用 户 提供 服务 透明 ， 用 户 不 用 改变 客户 端 程序 或 自己 的 行为 。 它 处 理 包 
的 速度 是 最 快 的 ， 但 提供 的 安全 级 别 低 ， 而 且 相 对 代理 服务 有 内 在 的 缺点 ， 如 维护 困难 ; 
不 能 防止 某 些 P 地 址 欺骗 (如 外 部 主机 伪装 其 他 外 部 主机 的 瑟 ); 不 能 提供 有 用 的 日 志 ， 
以 追踪 入 侵 者 ;不 能 屏蔽 网 络 内 部 结构 。 
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根据 站 点 的 安全 
策略 决定 转发 或 


图 4-5 数据 包 过 滤 的 工作 原理 
目前 ， 我 国 多 数学 校 的 校园 网 是 通过 Cisco 路 由 器 与 CERNET 相连 的 。Cisco 公司 基 


于 包 过 滤 的 路 由 器 采用 两 种 方法 实现 防火 墙 功 能 : 一 种 是 适用 于 某 些 接口 上 的 流 控制 ， 用 
于 过 滤 他 或 指定 TCP 和 UCP 端口 的 他 数据 包 ; 另 一 种 是 适用 于 广播 信息 ， 用 于 过 滤 广 播 
信息 。 由 于 校园 网 的 他 地 址 范围 是 确定 的 ， 拥 有 明确 的 闭合 边界 ， 较 易 进 行 地 址 控制 ;而 
作为 一 种 较 具 开放 性 的 学 术 环 境 ， 它 受到 入 侵 的 威胁 也 相对 较 小 ， 因 此 采用 数据 包 过 滤 这 
种 代价 较 小 的 防火 墙 目前 是 可 行 的 。 

(2) 网 络 地 址 转换 一 一 电路 级 网 关 技 术 的 特点 。 

电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ， 决 
定 该 会 话 是 否 合法 ， 它 工作 在 会 话 层 中 。 使 用 TCP 首先 必须 通过 三 次 握手 建立 TCP 连接 ， 
然后 才 开始 传送 数据 。 电 路 级 网 关 通 过 检查 在 TCP 握手 过 程 中 双方 的 SYN、ACK 和 序列 
数据 是 否 为 合理 逻辑 ， 来 判断 该 请 求 的 会 话 是 否 合法 。 如 果 该 网 关 认为 会 话 是 合法 的 ， 就 
会 为 双方 建立 连接 ， 之 后 网 关 仅 转 发 数据 ， 而 不 进行 过 滤 。 电 路 级 网 关 通常 需要 依靠 特殊 
的 应 用 程序 完成 复制 传递 数据 的 服务 。 电 路 级 网 关 是 一 个 通用 代理 服务 器 ， 它 工作 于 OSI 
互联 模型 的 会 话 层 或 TCP/IP 的 TCP 层 。 它 适用 于 多 个 协议 , 但 它 不 能 识别 在 同一 个 协议 栈 
上 运行 的 不 同 的 应 用 ， 当 然 也 就 不 需要 对 不 同 的 应 用 设置 不 同 的 代理 模块 。 电 路 级 网 关 还 
提供 一 个 重要 的 安全 功能 : 网 络 地 址 转换 (NAT), 将 所 有 的 内 部 卫 地 址 都 映射 到 防火 墙 使 
用 的 一 个 “安全 ”的 下 地址 ， 使 得 传递 的 数据 似乎 起 源 于 防火 墙 ， 从 而 隐藏 了 被 保护 网 络 
的 信息 。 

实际 上 ， 电 路 级 网 关 并 非 作 为 一 个 独立 的 产品 存在 ， 它 通常 与 其 他 的 应 用 级 网 关 结 合 
在 一 起 ， 所 以 有 人 也 把 电路 级 网 关 归 为 应 用 级 网 关 ， 但 它 在 会 话 层 上 过 滤 数 据 包 ， 无 法 检 
查 应 用 层级 的 数据 包 ， 适 用 于 小 型 局 域 网 。 

(3) 代理 服务 防火 墙 技术 的 特点 。 

代理 服务 是 运行 在 防火 墙 上 的 一 种 服务 器 程序 。 典 型 的 代理 接受 用 户 的 客户 请 求 ， 先 
判断 用 户 和 用 户 的 人 P 地 址 是 否 有 权 使 用 代理 服务 器 (也 可 能 支持 其 他 的 认证 手段 )， 然 后 
代表 客户 与 真实 服务 器 之 间 建 立 连接 。 其 典型 产品 是 美国 网 络 联盟 (NAI) 的 Gauntlet。 代 
理 系统 是 客户 机 和 真实 服务 器 之 间 的 中 介 ， 代 理 系 统 完全 控制 客户 机 和 真实 服务 器 之 间 的 
流量 ， 并 对 流量 情况 加 以 记录 。 它 一 般 工 作 在 双重 宿主 主机 〈《 有 两 个 网 络 接口 的 计算 机 系 
统 ) 或 堡垒 主机 上 ， 是 这 些 系统 的 核心 。 
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代理 服务 器 是 防火 墙 技术 中 颇 受 推崇 的 一 种 技术 ， 它 能 提供 比 包 过 滤 技 术 更 安全 的 保 
护 。 其 优点 是 : 可 以 屏蔽 网 络 内 部 结构 ， 增 强 网 络 的 安全 性 ， 同 时 还 可 用 于 实施 数据 流 监 
控 、 过 滤 、 记 录 、 报 告 等 功能 。 使 用 代理 服务 器 的 缺点 是 对 用 户 不 透明 ， 且 由 于 代理 服务 
器 具有 相当 大 的 工作 量 ， 通 常 需要 高 性 能 服务 器 承担 ， 故 其 总 体 投资 也 相对 较 高 ， 适 用 于 
企业 环境 。 


13. 简 述 国内 外 物理 隔离 技术 的 现状 和 发 展 趋势 。 

答 : 国家 保密 局 2000 年 1 月 1 日 起 颁布 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规 
定 》 中 规定 :“ 涉 及 国家 秘密 的 计算 机 信息 系统 ， 不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公 
共 信 息 网 络 相连 接 ， 必 须 实行 物理 隔离 ”， 物 理 隔离 安全 技术 采用 硬件 物理 隔离 方案 ,将 内 
部 涉 密 网 与 外 部 网 彻底 地 物理 隔离 开 ， 没 有 任何 线路 连接 。 这 样 可 以 保证 网 上 黑客 无 法 连 
接 内 部 涉 密 网 ， 具 有 极 高 的 安全 性 ， 但 也 可 能 造成 工作 不 便 、 数 据 交 流 困难 、 设 备 场地 增 
加 和 维护 费用 提高 等 负面 影响 。 尽 管 如 此 ， 瑕 不 掩 瑜 ， 物 理 隔 离 仍 是 目前 保障 信息 安全 的 
有 效 措施 。 

目前 ， 物 理 隔 离 技 术 现 状 如 下 。 

(1) 物理 隔离 在 安全 上 的 要 求 主 要 概括 为 两 点 。 

其 一 ， 在 物理 传导 上 使 涉 密 网 络 和 公共 网 络 隔断 ， 确 保 公 共 网 络 不 能 通过 网 络 连 接 而 
侵入 涉 密 网 络 ， 同 时 防止 涉 密 网 络 信息 通过 网 络 连接 泄露 到 公共 网 络 。 

其 二 ， 在 物理 储存 上 隔断 涉 密 网 络 和 公共 网 络 ， 对 于 断 电 后 会 遗失 信息 的 部 件 ， 如 内 
存 、 处 理 器 等 暂 存 部 件 ， 要 在 网 络 转换 时 作 清 除 处 理 ， 防 止 残留 信息 泄露 ， 对 于 断 电 后 信 
息 非 遗失 性 设备 〈 如 磁带 机 、 硬 盘 等 存储 设备 )， 涉 密 网 络 与 公共 网 络 信息 要 分 开 存 储 。 

(2) 物理 隔离 的 分 类 。 

当前 的 网 络 物理 隔离 主要 在 如 下 几 个 方面 作 防 护 。 

A. 客户 端的 物理 隔离 

现在 应 用 最 多 的 是 客户 端的 物理 隔离 方案 ， 这 种 方案 用 于 解决 网 络 的 客户 端的 信息 安 
全 问题 ， 假 定 某 机 构 的 网 络 已 经 分 为 两 个 网 络 ， 一 个 是 内 部 涉 密 网 ， 一 个 是 外 部 公共 网 ， 
内 部 涉 密 网 用 于 工作 于 安全 的 涉 密 环境 ， 不 与 外 部 网 络 有 任何 连接 : 外 部 公共 网 则 是 开放 
的 ， 可 以 连接 Intemet 发 布 信息 。 在 网 络 的 客户 端 应 用 物理 隔离 卡 产品 可 以 使 一 台 工 作 站 计 
算 机 既 可 以 连接 内 部 网 ， 又 可 以 连接 外 部 网 ， 可 在 内 外 网 上 分 时 工作 ， 同 时 绝对 保证 内 外 
网 之 间 物 理 隔离 ， 达 到 了 方 使 工作、 节约 资源 的 目的 。 

B. 集线器 级 的 物理 隔离 

集线器 级 的 物理 隔离 产品 需要 与 客户 端的 物理 隔离 产品 结合 起 来 应 用 ， 可 以 在 客户 端 
的 内 外 双 网 的 布线 上 使 用 一 条 网 络 线 通过 远 端 切换 器 连接 内 外 双 网 ， 实 现 一 台 工 作 站 连接 
内 外 两 个 网 络 的 目的 ， 并 在 网 络 部 线 上 避免 了 客户 端 计算 机 要 用 两 条 网 络 线 连接 网 络 。 

C. 服务 器 端的 物理 隔离 

服务 器 端的 物理 隔离 产品 是 一 种 魏 新 的 高 级 隔离 产品 ， 现 在 一 些 国 外 的 产品 已 经 应 用 ， 
但 国内 还 没有 较 好 的 产品 ， 它 通过 复杂 的 软 硬 件 技术 实现 在 服务 器 端的 数据 过 滤 和 传输 任 
务 ， 其 技术 关键 还 是 在 同一 时 刻 内 外 网 络 没 有 物理 上 的 数据 连通 ， 但 又 快速 分 时 地 处 理 并 
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传递 数据 。 

(3) 如 何 实现 物理 隔离 。 

目前 ， 网 络 隔离 技术 有 如 下 两 种 。 

Q@ 单 主板 安全 隔离 计算 机 : 其 核心 技术 是 双 硬 盘 技 术 ， 将 内 外 网 络 转换 功能 写 入 
BIOS 中 ， 并 将 插 槽 也 分 为 内 网 和 外 网 ， 使 用 更 方便 ， 也 更 安全 。 

单 主板 安全 隔离 计算 机 是 采用 彻底 实现 内 外 网 物理 隔离 的 个 人 计算 机 ， 这 种 安全 计算 
机 的 成 本 仅 增加 了 25% 左 右 , 并 且 由 于 这 种 安全 计算 机 是 在 较 低层 的 BIOS 上 开发 的 , 处 理 
器 、 主 板 、 外 设 的 升级 不 会 给 计算 机 带 来 “不 兼容 ”的 影响 。 它 很 好 地 解决 了 接 入 网 络 后 
局 域 网 络 信息 安全 、 系 统 安全 、 操 作 安全 和 环境 安全 等 问题 ， 彻 底 实现 了 网 络 物理 隔离 。 

安全 计算 机 在 传统 PC 主板 结构 上 形成 了 两 个 物理 隔离 的 网 络 终端 接 入 环境 , 分 别 对 应 
于 国际 互联 网 和 内 部 局 域 网 , 保证 局 域 网 信息 不 会 被 互联 网 上 的 黑客 和 病毒 破坏 主板 BIOS 
控制 由 网 卡 和 硬盘 构成 的 网 络 接 入 和 信息 存储 环境 各 自 独立 ， 并 只 能 在 相应 的 网 络 环境 下 
工作 ， 不 可 能 在 一 种 网 络 环境 下 使 用 另 一 环境 才 使 用 的 设备 。BIOS 还 提供 所 有 涉及 信息 发 
送 和 输出 设备 的 控制 ， 包 括 

(a) 对 软驱 、 光 驱 提 供 限制 功能 。 在 系统 引导 时 不 允许 驱动 器 中 有 移动 存储 介质 。 双 
网 计算 机 提供 软驱 关闭 /禁用 功能 。 

(b) 对 双向 端口 设备 提供 限制 功能 。 双 向 端口 包括 打印 机 并 行 接口 、 串 行 接口 、USB 
接口 ` MIDI 接口 , 这 些 接口 如 果 使 用 不 当 , 也 是 安全 漏洞 , 需要 加 强 使 用 管制 。 对 于 BIOS， 
则 由 防 写 跳 线 防止 病毒 破坏 、 非 法 刷新 或 破坏 ， 以 及 改变 BIOS 的 控制 特性 。 

@ 网 络 安全 隔离 卡 : 其 核心 技术 是 双 硬盘 技术 ， 启 动 外 网 时 关闭 内 网 硬盘 ， 启 动 内 网 
时 关闭 外 网 硬盘 ， 使 两 个 网 络 和 硬盘 物理 隔离 ， 它 不 仅 可 用 于 两 个 物理 隔离 的 情况 ， 也 可 
用 于 个 人 资料 要 保密 又 要 上 互联 网 的 个 人 计算 机 的 情况 。 其 优点 是 价格 低 , 但 使 用 稍 麻烦 ， 
因为 转换 内 外 网 要 关机 和 重新 开机 。 

网 络 安全 隔离 卡 的 功能 是 以 物理 方式 将 一 台 PC 虚拟 为 两 部 计算 机 , 实现 工作 站 的 双重 
状态 ， 既 可 在 安全 状态 ， 又 可 在 公共 状态 ， 两 种 状态 是 完全 隔离 的 ， 从 而 使 一 部 工作 站 可 
在 完全 安全 状态 下 连接 内 外 网 。 网 络 安全 隔离 卡 实际 是 被 设置 在 PC 中 最 低 的 物理 层 上 , 通 
过 卡 上 一 边 的 IDE 总 线 连 接 主板 ， 另 一 边 连接 IDE 硬盘 ， 内 、 外 网 的 连接 均 须 通过 网 络 安 
全 隔离 卡 , PC 硬盘 被 物理 分 隔 为 两 个 区 域 , 在 IDE 总 线 物 理 层 上 , 在 固件 中 控制 磁盘 通道 ， 
任何 时 候 数据 只 能 通过 一 个 分 区 。 

在 安全 状态 时 , 主机 只 能 使 用 硬盘 的 安全 区 与 内 部 网 连接 , 而 此 时 外 部 网 (如 Intemet) 
连接 是 断 开 的 ， 且 硬盘 的 公共 区 的 通道 是 封闭 的 ， 在 公共 状态 时 ， 主 机 只 能 使 用 硬盘 的 公 
共 区 与 外 部 网 连接 ， 而 此 时 与 内 部 网 是 断 开 的 ， 且 硬盘 安全 区 也 是 被 封闭 的 。 

当 两 种 状态 转换 时 ， 可 通过 鼠标 单 击 操作 系统 上 的 切换 键 ， 进 入 一 个 热 启 动 过 程 。 切 
换 时 ， 系 统 通过 硬件 重启 信号 重新 启动 ， 这 样 ，PC 内 存 的 所 有 数据 就 被 消除 ， 两 个 状态 分 
别 是 有 独立 的 操作 系统 ， 并 独立 导入 ， 两 种 硬盘 分 区 不 会 同时 激活 。 为 了 保证 安全 ， 两 个 
分 区 不 能 直接 交换 数据 ， 但 是 用 户 可 以 通过 一 个 独特 的 设计 ， 安 全 方便 地 实现 数据 交换 ， 
即 在 两 个 分 区 外 ,网络 安全 隔离 在 硬盘 上 另外 设置 了 一 个 功能 区 ， 该 功能 区 在 PC 处 于 不 同 
的 状态 下 转换 ， 即 在 两 种 状态 下 功能 区 均 表 现 为 硬盘 的 D 盘 ， 各 个 分 区 可 以 通过 功能 区 作 
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为 一 个 过 渡 区 交换 数据 。 当 然 ， 根 据 用 户 需 要 ， 也 可 创建 单 向 的 安全 通道 ， 即 数据 只 能 从 
公共 区 向 安全 区 转移 ， 但 不 能 逆向 转移 ， 从 而 保证 安全 区 的 数据 安全 。 


14. 浏览 网 站 ， 列 举国 内 有 关 物 理 隔 离 设备 的 厂家 及 其 产品 的 特点 。 
答 : Tenix 的 产品 Interactive Link 具有 将 私有 网 络 与 公 网 彻底 隔离 ， 限 定 网 络 流量 的 单 
向 性 ， 故 称 之 为 数据 二 极 管 ， 网 址 为 http://www.tenixdatagate.com/Main.asp?ID=880。 


15. 收集 国内 外 有 关 网 络 隔离 技术 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 
答 : 略 


16. 收集 国内 外 有 关 网 络 隔离 技术 的 最 新 动态 。 

答 : 面 对 新 型 网 络 攻击 手段 的 出 现 和 高 安全 度 网 络 对 安全 的 特殊 需求 ， 全 新 安全 防护 
防范 理念 的 网 络 安全 技术 一 一 “网 络 隔离 技术 ”应 运 而 生 。 网 络 隔离 技术 的 目标 是 确保 隔 
离 有 害 的 攻击 ， 在 可 信 网 络 之 外 和 保证 可 信 网 络 内 部 信息 不 外 泄 的 前 提 下 ， 完 成 网 间 数 据 
的 安全 交换 。 网 络 隔离 技术 是 在 原 有 安全 技术 的 基础 上 发 展 起 来 的 ， 它 弥补 了 原 有 安全 技 
术 的 不 足 ， 突 出 了 自己 的 优势 。 网 络 隔离 的 英文 名 为 Network Isolation， 主 要 是 指 把 两 个 或 
两 个 以 上 可 路 由 的 网 络 〈 如 TCP/IP〉 通 过 不 可 路 由 的 协议 (如 PX/SPX、NetBEUI 等 ) 进 
行 数据 交换 而 达到 隔离 目的 。 由 于 其 原理 主要 是 采用 了 不 同 的 协议 ， 所 以 通常 也 称 协议 隔 
离 (protocol isolation)。1997 年 ， 信 息 安全 专家 Mark Joseph Edwards 在 他 编写 的 一 书 中 ， 
就 对 协议 隔离 进行 了 归 类 。 在 书 中 他 明确 指出 协议 隔离 和 防火 墙 不 属于 同类 产品 。 隔 离 概 
念 是 在 为 了 保护 高 安全 度 网 络 环境 的 情况 下 产生 的 ;隔离 产品 的 大 量 出 现 也 是 经 历 了 五 代 
隔离 技术 不 断 的 实践 和 理论 相 结合 后 得 来 的 。 

第 一 代 隔 离 技术 一 一 完全 的 隔离 。 此 方法 使 得 网 络 处 于 信息 孤岛 状态 ， 做 到 了 完全 的 
物理 隔离 ， 需 要 至 少 两 套 网 络 和 系统 ， 更 重要 的 是 信息 交流 的 不 便 和 成 本 的 提高 ， 这 样 给 
维护 和 使 用 带 来 了 极 大 的 不 便 。 

第 二 代 隔 离 技术 一 一 硬件 卡 隔 离 。 在 客户 端 增加 一 块 硬件 卡 ， 客 户 端 硬盘 或 其 他 存储 
设备 首先 连接 到 该 卡 , 然后 再 转 接 到 主板 上 , 通过 该 卡 能 控制 客户 端 硬盘 或 其 他 存储 设备 。 
而 在 选择 不 同 的 硬盘 时 ， 同 时 选择 了 该 卡 上 不 同 的 网 络 接口 ， 连 接 到 不 同 的 网 络 。 但 是 ， 
这 种 隔离 产品 有 的 仍然 需要 网 络 布线 为 双 网 线 结构 ， 产 品 存在 着 较 大 的 安全 隐患 。 

第 三 代 隔 离 技术 一 一 数据 转播 隔离 。 利 用 转播 系统 分 时 复制 文件 的 途径 实现 隔离 ， 切 
换 时 间 非 常 入 ， 甚 至 需要 手工 完成 ， 不 仅 明 显 地 减缓 了 访问 速度 ， 更 不 支持 常见 的 网 络 应 
用 ， 失 去 了 网 络 存在 的 意义 。 

第 四 代 隔 离 技术 一 一 空气 开关 隔离 。 它 是 通过 使 用 单刀 双 掷 开关， 使 得 内 外 部 网 络 分 
时 访问 临时 缓存 器 完成 数据 交换 的 ， 但 在 安全 和 性 能 上 存在 许多 问题 。 

第 五 代 隔离 技术 一 一 安全 通道 隔离 。 此 技术 通过 专用 通信 硬件 和 专 有 安全 协议 等 安全 
机 制 ， 实 现 内 外 部 网 络 的 隔离 和 数据 交换 ， 不 仅 解决 了 以 前 隔离 技术 存在 的 问题 ， 并 有 效 
地 把 内 外 部 网 络 隔 离开 来 ， 而 且 高 效 地 实现 了 内 外 网 数据 的 安全 交换 ， 透 明 支 持 多 种 网 络 
应 用 ， 成 为 当前 隔离 技术 的 发 展 方向 。 
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17. 简 述 VPN 使 用 了 哪些 主要 技术 。 

答 : (1) MPLS VPN 是 一 种 基于 MPLS 技术 的 他 VPN， 是 在 网 络 路 由 和 交换 设备 上 应 
用 多 协议 标记 交换 (Multiprotocol Label Switching，MPLS) 技术 ， 简 化 核心 路 由 器 的 路 由 
选择 方式 ， 利 用 结合 传统 路 由 技术 的 标记 交换 实现 的 人 P 虚拟 专用 网 络 (IP VPN)。MPLS 
的 优势 在 于 将 二 层 交 换 和 三 层 路 由 技术 结合 起 来 ， 在 解决 VPN、 服 务 分 类 和 流量 工程 这 些 
IP 网 络 的 重大 问题 时 具有 很 优异 的 表现 。 因 此 ，MPLS VPN 在 解决 企业 互 连 、 提 供 各 种 新 
业务 方面 也 越 来 越 被 运营 商 看 好 ， 成 为 在 IP 网 络 运营 商 提 供 增值 业务 的 重要 手段 。MPLS 
VPN 又 可 分 为 二 层 MPLS VPN( 即 MPLS L2 VPN) 和 三 层 MPLS VPN( 即 MPLS L3 VPN)。 

(2) SSL VPN 是 以 HITPS (Secure HITP， 安 全 的 HITP， 即 支持 SSL 的 HTTP) 为 基 
础 的 VPN 技术 , 工作 在 传输 层 和 应 用 层 之 间 。SSL VPN 充分 利用 了 SSL 协议 提供 的 基于 证 
书 的 身份 认证 、 数 据 加 密 和 消息 完整 性 验证 机 制 , 可 以 为 应 用 层 之 间 的 通信 建立 安全 连接 。 
SSLVPN 广泛 应 用 于 基于 Web 的 远程 安全 接 入 ， 为 用 户 远程 访问 公司 内 部 网 络 提供 了 安全 
保证 。 

(3) IPSec VPN 是 基于 IPSec 协议 的 VPN 技术 ， 由 IPSec 协议 提供 隧道 安全 保障 。 
IPSec 是 一 种 由 IETF 设计 的 端 到 端的 确保 基于 IP 通信 的 数据 安全 性 的 机 制 。 它 为 Internet 
上 传输 的 数据 提供 了 高 质量 的 、 可 互 操作 的 、 基 于 密码 学 的 安全 保证 。 


18. 综述 有 关 入 侵 检测 技术 的 各 种 定义 。 

答 : 入 侵 检 测 是 用 来 发 现 外 部 攻击 与 内 部 合法 用 户 滥用 特权 的 一 种 方法 ， 是 一 种 动态 
的 网 络 安全 技术 。 它 利用 各 种 不 同类 型 的 引擎 ， 实 时 或 定期 地 对 网 络 中 相关 的 数据 源 进行 
分 析 ， 根 据 引 擎 对 特殊 数据 或 事件 的 认识 ， 将 其 中 具有 威胁 性 的 部 分 提取 出 来 ， 并 触发 响 
应 机 制 。 其 动态 性 反映 在 入 侵 检 测 的 实时 性 和 对 网 络 环境 的 变化 具有 一 定 程度 上 的 自 适 应 
性 ， 这 是 以 往 静 态 安全 技术 无 法 具有 的 。 入 侵 检测 技术 作为 一 种 主动 防御 技术 ， 是 信息 安 
全 技术 的 重要 组 成 部 分 ， 是 传统 计算 机 安全 机 制 的 重要 补充 。 

入 侵 检测 系统 就 是 一 种 利用 入 侵 检测 技术 对 潜在 的 入 侵 行为 做 出 记录 和 预测 的 智能 化 、 
自动 化 的 软件 或 硬件 系统 。 

入 侵 检测 系统 的 一 般 组 成 主要 有 采集 模块 、 分 析 模 块 和 管理 模块 。 采 集 模 块 主要 用 来 
搜集 原始 数据 信息 ， 将 各 类 混杂 的 信息 按 一 定 的 格式 进行 格式 化 并 交 给 分 析 模 块 分 析 ; 分 
析 模 块 是 入 侵 检 测 系统 的 核心 部 件 ， 它 完成 对 数据 的 解析 ， 给 出 怀疑 值 或 做 出 判断 ， 管 理 
模块 的 主要 功能 是 根据 分 析 模 块 的 结果 做 出 决策 和 响应 。 管 理 模块 与 采集 模块 一 样 ， 分 布 
于 网 络 中 。 为 了 更 好 地 完成 入 侵 检测 系统 的 功能 ， 系 统一 般 还 有 数据 预 处 理 模块 、 通 信 模 
块 和 数据 存储 模块 等 。 

根据 数据 来 源 的 不 同 ， 入 侵 检 测 系统 常 被 分 为 基于 主机 (Host-based) 的 入 侵 检测 系统 
和 基于 网 络 (Network-based) 的 入 侵 检 测 系统 。 


19. 入 侵 检测 系统 有 哪些 可 以 利用 的 数据 源 ? 
答 : 主机 和 网 络 。 基 于 主机 的 入 侵 检 测 系统 的 数据 源 来 自主 机 信息 ， 如 日 志文 件 、 审 
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计 记 录 等 。 基 于 主机 的 入 侵 检 测 系统 的 检测 范围 较 小 ， 只 限于 一 台 主 机 内 。 它 不 但 可 以 检 
测 出 系统 的 远程 入 侵 ， 还 可 以 检测 出 本 地 入 侵 ， 但 由 于 主机 的 信息 多 种 多 样 ， 对 于 不 同 的 
操作 系统 ， 信 息 源 的 格式 就 不 同 ， 这 使 得 基于 主机 的 入 侵 检测 系统 比较 难 实现 。 

随 着 计算 机 网 络 技术 的 发 展 ， 单 独 依靠 主机 审计 信息 进行 入 侵 检 测 难以 适应 网 络 安全 
的 需求 , 于 是 人 们 提出 了 基于 网 络 的 入 侵 检测 系统 体系 结构 , 这 种 检测 系统 根据 网 络 流量 、 
单 台 或 多 台 主 机 的 审计 数据 检测 入 侵 。 

基于 网 络 的 入 侵 检测 系统 的 数据 源 是 网 络 流量 ， 它 实时 监视 并 分 析 通 过 网 络 的 所 有 通 
信 业 务 ， 检 测 范围 是 整个 网 络 ， 由 于 网 络 数据 是 规范 的 TCP/IP 数据 包 ， 所 以 基于 网 络 的 入 
侵 检测 系统 比较 易于 实现 ， 但 它 只 能 检测 出 远程 入 侵 ， 对 于 本 地 入 侵 ， 它 是 看 不 到 的 。 


20. 试 构造 一 个 网 络 数据 包 的 截获 程序 。 

答 : 程序 构造 思路 : 网 卡 层 面 的 截获 〈 截 获 和 自己 同 网 段 的 计算 机 发 送 的 信息 ， 包 括 
送 往 自己 的 数据 包 )。 

一 个 网 络 数据 报 文 的 发 送 过 程 是 这 样 的 : 

a. 发 送 方 的 应 用 层 将 要 发 送 的 数据 报 文 ， 通 过 Socket 调用 提交 TCP/IP 层 。 

b. TCP/IP 层 经 过 层 层 封装 ,将 这 些 数据 报 文 封装 成 人 P 数据 报 文 ， 送 往 数据 链 路 层 ， 一 
般 以 太 网 用 的 是 802.x 的 帧 结构 ， 封 装 成 数据 帧 。 

c. 以 太 网 数据 链 路 层 是 使 用 MAC 地 址 标识 网 口 的 , 每 一 网 口 的 MAC 地址 都 是 世界 唯 
一 的 。 

d. 数据 链 路 层 将 目的 方 的 MAC 地 址 和 自己 的 MAC 地 址 分 别 填 入 目标 MAC 和 源 MAC 
的 字段 中 ， 发 送 到 物理 层 〈 也 就 是 网 线 上 )。 

网 络 数据 报 文 的 接收 过 程 : 

每 个 网 卡 在 收 到 物理 链 路 上 发 送 来 的 数据 帧 之 后 , 都 会 自动 检测 收 到 的 这 个 MAC 地 址 
是 否 和 自己 的 网 卡 MAC 地 址 相同 ， 如 果 相同 ， 则 接受 ， 否 则 就 丢弃 。 

这 样 就 可 以 实现 对 于 数据 包 的 过 滤 过 程 。 而 很 多 网 络 拦截 工具 , 如 Sniffer 或 者 Ethereal， 
都 将 网 卡 的 这 个 功能 打破 。 他 们 定义 了 一 个 网 卡 所 谓 的 混杂 模式 ， 这 里 ， 网 卡 不 管 收 到 的 
这 个 数据 包 是 否 是 给 自己 的 (目的 MAC 和 自己 网 卡 的 MAC 是 否 相同 )， 都 往 上 层 送 ， 都 
能 对 数据 流 进 行 分 析 。 这 就 是 网 络 层面 拦截 的 基本 原理 。 


21. 试 述 入 侵 检测 系统 的 工作 原理 。 

答 : 入 侵 检测 是 用 来 发 现 外 部 攻击 与 内 部 合法 用 户 滥 用 特权 的 一 种 方法 ， 是 一 种 动态 
的 网 络 安全 技术 。 它 利用 各 种 不 同类 型 的 引擎 ， 实 时 或 定期 地 对 网 络 中 相关 的 数据 源 进 行 
分 析 ， 根 据 引擎 对 特殊 数据 或 事件 的 认识 ， 将 其 中 具有 威胁 性 的 部 分 提取 出 来 ， 并 触发 响 
应 机 制 。 其 动态 性 反映 在 入 侵 检测 的 实时 性 、 对 网 络 环境 的 变化 具有 一 定 程度 上 的 自 适 应 
性 ， 这 是 以 往 静 态 安全 技术 无 法 具有 的 。 入 侵 检测 技术 作为 一 种 主动 防御 技术 ， 是 信息 安 
全 技术 的 重要 组 成 部 分 ， 是 传统 计算 机 安全 机 制 的 重要 补充 。 

入 侵 检 测 系统 就 是 一 种 利用 入 侵 检测 技术 对 潜在 的 入 侵 行 为 做 出 记录 和 预测 的 智能 
自动 化 的 软件 或 硬件 系统 。 
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22. 收集 资料 ， 对 国内 外 主要 基于 网 络 的 入 侵 检 测 产品 进行 比较 。 

答 : (1) Snort。Snort 是 一 个 免费 、 开 放 源 代码 的 基于 网 络 的 入 侵 检 测 系统 。 它 具有 很 
好 的 配置 性 和 可 移植 性 。 

Snort 最 初 是 设计 给 小 网 络 段 使 用 的 ， 常 被 称 为 轻 量 级 的 入 侵 检测 系统 。 现 在 ，Snort 
既 可 用 于 UNIX/Linux 平台 ， 也 有 适用 于 Windows 操作 系统 的 版 本 ， 并 且 已 经 有 了 方便 的 
图 形 用 户 界面 。 

扩展 性 很 好 : 基于 规则 的 体系 结构 使 Snort 非常 灵活 ， 设 计 者 使 其 很 容易 插入 和 扩充 新 
的 规则 一 一 就 能 对 抗 新 出 现 的 威胁 。 

Snort 具有 实时 数据 流量 分 析 和 日 志 卫 网 络 数据 包 的 能 力 , 能 截获 网 络 中 的 数据 包 并 记 
录 数 据 包 日 志 。 日 志 格式 既 可 以 是 Tepdump 式 的 二 进 制 格 式 ， 也 可 以 解码 成 ASCII 字符 形 
式 ， 还 可 以 通过 数据 库 输出 插件 记 入 数据 库 。 

Snort 能 够 对 多 种 协议 进行 协议 解析 ， 对 内 容 进行 搜索 和 匹配 。 它 能 够 检测 多 种 方式 的 
攻击 和 探测 。 

(2) ISS RealSecure。Intemet Security System 公司 的 RealSecure 是 一 种 实时 监控 的 软 
件 ， 它 由 控制 台 、 网 络 引擎 和 系统 代理 三 部 分 组 成 。 网 络 引擎 基于 C 类 网 段 ， 安 装 在 一 台 
单独 使 用 的 计算 机 上 ， 通 过 捕捉 网 段 上 的 数据 包 ， 分 析 包 头 和 数据 段 内 容 ， 与 模板 中 定义 
的 事件 手法 进行 匹配 ， 发 现 攻击 后 采取 相应 的 安全 动作 。 

系统 代理 基于 主机 ， 安 装 在 受 保护 的 主机 上 ， 通 过 捕 提 访问 主机 的 数据 包 ， 分 析 包 头 
和 数据 段 内 容 ， 与 模板 中 定义 的 事件 手法 进行 匹配 ， 发 现 攻击 后 采取 相应 的 安全 动作 。 

控制 台 是 安全 管理 员 的 管理 界面 ， 它 可 同时 与 多 个 网 络 引擎 和 系统 代理 连接 ， 实 时 获 
取 安 全 信息 。 

(3) Watcher。Watcher 是 一 个 典型 的 网 络 入 侵 检测 工具 ， 它 能 检测 所 有 通过 网 络 的 信息 
包 ， 并 且 将 它们 当成 恶意 的 攻击 行为 记录 在 sys log 中 ， 网 络 管理 员 根 据 记 录 下 的 日 志 可 以 
分 析 、 判 断 系统 是 否 正在 遭受 恶意 攻击 。 它 是 一 个 完全 免费 的 版 本 ， 安 装 起 来 非常 简单 。 


23. 收集 资料 ， 对 国内 外 主要 基于 主机 的 入 侵 检 测 产品 进行 比较 。 

答 : 常用 的 HIPS 软件 有 OSSEC HIDS, 项 目 主页 为 http:/www.ossec.net, 支持 Linux 和 
Windows 系统 ,监测 文件 和 目录 修改 ; 通过 保存 认证 信息 提供 可 说 明 性 。 但 是 ，Server 要 安 
装 在 Linux 系统 上 。Agent 可 以 安装 在 Linux 或 者 Windows 上 。 

功能 包括 日 志 分 析 、rootkit 检测 不 支持 Windows 系统 )、 完 整 性 检测 等 。 

当 认 证 未 通过 或 出 现存 在 问题 的 用 户 添 加 时 ， 触 发 用 户 报警 ， 如 E-mail 报警 、 定 时 报 
警 等 。 日志 分 析 规 则 为 XML 格式 , 进程 在 chroot jail 中 运行 并 且 权 限 隔 离 , 遵守 syslog RFC 
3164 协议 。 因 为 其 强大 的 日 志 分 析 引 擎 , 互联 网 供应 商 、 大 学 和 数据 中 心 都 乐意 运行 OSSEC 
HIDS， 以 监视 和 分 析 其 防火 墙 、IDS、Web 服务 器 和 身份 验证 日 志 。 


24. 分 析 入 侵 检测 系统 的 不 足 和 发 展 趋势 。 
答 : 入 侵 检测 系统 的 不 足 在 于 : 
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(1) 不 能 在 没有 用 户 参 与 的 情况 下 对 攻击 行为 展开 调查 。 

(2) 不 能 在 没有 用 户 参 与 的 情况 下 阻止 攻击 行为 的 发 生 。 

(3) 不 能 克服 网 络 协议 方面 的 缺陷 。 

(4) 不 能 克服 设计 原理 方面 的 缺陷 。 

(5) 响应 不 够 及 时 ， 签 名 数据 库 更 新 得 不 够 快 。 

(6) 经 常 是 事后 才 检 测 到 ， 适 时 性 不 好 。 

随 着 网 络 攻击 手段 向 分 布 式 方向 发 展 〈 如 目前 出 现 的 分 布 DoS 攻击 )， 且 采用 了 各 种 
数据 处 理 技术 ， 其 破坏 性 和 隐蔽 性 也 越 来 越 强 。 相 应 地 ， 入 侵 检 测 系统 也 在 向 分 布 式 结构 
发 展 ， 采 用 分 布 收集 信息 、 分 布 处 理 、 多 方 协作 的 方式 ， 将 基于 主机 的 IDS 和 基于 网 络 的 
IDS 结合 起 来 使 用 , 构筑 面向 大 型 网 络 的 IDS, 而 且 对 处 理 速度 及 各 相关 性 能 的 要 求 更 高 。 
目前 已 有 的 IDS 还 远 远 不 能 满足 入 侵 检测 的 需要 。 入 侵 检 测 技术 的 主要 研究 方向 有 : 

(1) IDS 体系 结构 研究 。IDS 是 包括 技术 、 人 、 工 具 三 方面 因素 的 一 个 整体 ， 如 何 建 
立 一 个 良好 的 体系 结构 ， 合 理 组 织 和 管理 各 种 实体 ， 以 杜绝 在 时 间 上 和 实体 交互 中 产生 的 
系统 脆弱 性 ， 是 当前 IDS 研究 中 的 主要 内 容 ， 也 是 保护 系统 安全 的 首要 条 件 。 

IDS 体系 结构 的 研究 主要 包括 : 具有 多 系统 的 互 操 作 性 和 重用 性 的 通用 入 侵 检测 框架 ; 
总 体 结构 和 各 部 件 的 相互 关系 ; 系统 安全 策略 ; 具有 可 伸缩 性 的 统一 IDS 系统 结构 ; IDS 管 
理 ，DARP 提出 的 通用 入 侵 检 测 框 架 ， 具有 可 伸缩 性 、 重 用 性 的 系统 框架 ， 安 全 、 健 壮 和 
可 扩展 的 安全 策略 。 

(2) 安全 通信 技术 研究 。 目 前 , 分 布 式 系统 的 安全 通信 机 制 也 是 研究 领域 的 一 个 热点 ， 
包括 IETF 的 入 侵 检测 报警 协议 (Intrusion Alert Protocol，IAP)、 安 全 认证 和 远程 控制 等 协 
议 、 高 效 且 具有 互 操作 性 的 安全 通道 。 

(3) 入 侵 检测 技术 研究 。 目 前 已 有 的 入 侵 检测 技术 包括 基于 知识 的 检测 和 基于 行为 的 
检测 。 基 于 知识 的 检测 包括 专家 系统 、 模 型 推理 、 状 态 转换 图 、 信 号 分 析 、Petri Nets 图 等 。 
这 种 检测 由 于 依据 具体 特征 库 进 行 判断 ， 所 以 准确 度 很 高 、 方 便 响应 ;但 与 具体 系统 依赖 
性 太 强 ， 移 植 性 不 好 ， 维 护 工 作 量 大 ， 受 已 有 知识 的 限制 ， 难 以 检测 出 权利 滥用 。 基 于 行 
为 的 检测 包括 概率 统计 方法 、 神 经 网 络 方法 、 专 家 系统 、 用 户 意图 识别 、 计 算 机 免疫 系统 
等 。 这 种 检测 与 系统 相对 无 关 ， 通 用 性 较 强 ， 可 检测 出 以 前 未 出 现 过 的 攻击 方法 。 它 的 主 
要 缺陷 在 于 误 检 率 很 高 。 

鉴于 两 者 存在 的 优点 和 不 足 ， 而 且 已 证 明 依 靠 单一 的 入 侵 检 测 方法 不 可 能 检测 出 所 有 
入 侵 ， 所 以 现在 的 研究 主要 集中 在 对 已 有 的 检测 方法 进行 改进 和 对 新 检测 法 的 研究 上 ， 以 
期 找到 效率 和 效果 相 一 致 的 检测 方法 。 

(4) 响应 策略 与 恢复 研究 。IDS 识别 出 入 侵 后 的 响应 策略 是 维护 系统 安全 性 、 完 整 性 
的 关键 。IDS 的 目标 是 实现 实时 响应 和 恢复 。 实 现 IDS 的 响应 包括 : 向 管理 员 和 其 他 实体 
发 出 警报 ; 进行 紧急 处 理 ， 对 于 攻击 的 追踪 、 诱 导 和 反击 ; 对 于 攻击 源 数据 的 聚集 以 及 ZD 
部 件 的 自学 习 和 改进 。 

IDS 的 恢复 研究 包括 : 系统 状态 一 致 性 检测 、 系 统 数据 的 备份 、 系 统 恢复 策略 和 恢复 
时 机 。 

(5) 协作 式 入 侵 检 测 技 术 研 究 。 随 着 黑客 入 侵 手 段 的 提高 ， 尤 其 是 分 布 式 、 协 同 式 、 
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复杂 模式 攻击 的 出 现 和 发 展 ， 传 统 的 单一 、 缺 乏 协作 的 入 侵 检测 技术 已 经 不 能 满足 需求 ， 
需要 有 充分 的 协作 机 制 。 协 作 主 要 包括 两 个 方面 : 事件 检测 、 分 析 和 响应 能 力 的 协作 ; 各 
部 分 掌握 的 安全 相关 信息 的 共享 。 尽 管 现在 最 好 的 商业 产品 和 研究 项 目 中 也 只 有 简单 的 协 
作 ， 如 ISS 的 RealSecure 入 侵 检测 产品 可 以 与 防火 墙 协作 ，AAFID 中 同一 主机 上 各 主机 
型 代理 之 间 可 进行 简单 的 信息 共享 ， 但 协作 是 一 个 重要 的 发 展 方向 。 协 作 的 层次 主要 有 以 
下 几 种 ; 

同一 系统 中 不 同 入 侵 检 测 部 件 之 间 的 协作 ， 尤 其 是 主机 型 和 网 络 型 入 侵 检测 部 件 之 间 
的 协作 ， 以 及 异 构 平台 部 件 的 协作 ;不 同安 全 工具 之 间 的 协作 ; 不 同 厂家 的 安全 产品 之 间 
的 协作 ; 不 同 组 织 之 间 预 警 能 力 和 信息 的 协作 。 要 实现 协作 ， 首 先 要 考虑 两 个 问题 : 一 是 信 
息 表 达 的 格式 和 信息 交换 的 安全 协议 ; 二 是 协作 的 模型 。 信 息 表达 的 格式 有 两 个 标准 : 
DARPA 的 通用 入 侵 检测 框架 中 提出 的 通用 入 侵 规 范 语言 (Common Intrusion Specification 
Language，CISL); IETF 的 入 侵 检测 工作 组 (IDWG) 中 IAP 使 用 的 另 一 套 方案 。 两 者 各 
有 所 长 ， 有 待 进 一 步 研究 ， 以 确定 一 个 统一 的 、 能 同时 实现 协作 控制 信息 交换 和 数据 信息 
交换 的 通用 标准 。 

入 侵 检 测 协作 模型 应 充分 利用 现 有 的 Agent 研究 成 果 ， 并 将 其 应 用 到 入 侵 检测 和 攻击 
防护 中 ; 研究 Agent 在 安全 系统 中 的 角色 和 与 其 他 安全 实体 的 相互 关系 ; 研究 Agent 之 间 
信息 交换 格式 的 协作 模型 ， 研 究 各 实体 之 间 的 分 布 结构 和 逻辑 从 属 关 系 ， 安 全 的 互 操作 系 
统 模型 等 。 

(6) 建立 黑客 攻击 模型 以 及 主机 和 网 络 安全 状态 模型 。 对 于 黑客 攻击 的 识别 ， 现 用 的 
方法 基本 都 是 在 已 知 攻击 的 基础 上 提取 其 特征 ， 然 后 将 其 加 入 特征 库 。 但 是 ， 现 有 的 攻击 
特征 库 过 于 简单 ， 没 有 扩展 性 和 适应 性 ， 造 成 较 高 的 误 报 率 和 漏 报 率 ， 并 缺乏 对 未 知 攻击 
的 预警 。 根 据 我 们 的 研究 和 工程 经 验 ， 建 立 黑客 攻击 模型 以 及 主机 和 网 络 安全 状态 模型 ， 
可 从 两 方面 解决 以 上 问题 。 

黑客 的 攻击 一 般 都 和 大 量 正常 的 网 络 通信 混在 一 起 ， 而 对 所 有 海量 的 审计 信息 都 进行 
全 面 检查 是 十 分 低 效 的 。 我 们 必须 有 高 效 的 过 程 排除 噪声 ， 研 究 现 有 的 黑客 攻击 方式 ， 归 
纳 出 有 扩展 性 和 适应 性 的 较 通 用 的 几 种 攻击 模型 。 在 实际 的 检测 中 ， 首 先 应 用 黑客 攻击 模 
型 排除 绝 大 多 数 噪声 后 记录 可 疑 信息 ， 然 后 再 集中 检测 具体 的 攻击 形式 ， 这 样 可 大 大 提高 
效率 ， 减 少 误 报 和 漏 报 ， 并 且 只 要 与 该 模型 匹配 的 攻击 都 能 被 预警 ， 增 强 了 对 未 知 攻击 的 
预警 能 力 。 

安全 是 相对 的 ， 所 以 有 必要 建立 状态 模型 ， 以 监测 主机 和 网 络 当 前 的 安全 状态 。 一 旦 
发 现 异 常 ， 很 有 可 能 是 未 知 的 黑客 攻击 ， 可 采取 应 急 措 施 ， 如 进行 全 面 的 日 志 记录 ， 启 动 
一 般 处 于 禁止 状态 的 (开销 较 大 的 ) 入 侵 检 测 模块 ， 在 一 段 时 间 内 禁止 一 些 危 险 操 作 等 。 
对 于 存放 高 度 机 密 信息 的 机 构 ， 这 种 措施 尤其 有 用 。 安 全 状态 模型 应 该 是 通用 的 ， 并 有 可 
调 参数 ， 当 系统 置 于 新 环境 时 ， 可 由 系统 自 适应 或 由 安全 管理 员 设 定 这 些 参数 。 


25. 入 侵 检测 技术 与 法 律 有 什么 关系 ? 
答 : 入 侵 检测 技术 (IDS) 是 通过 监视 网 络 或 者 系统 资源 ， 寻 找 违反 安全 策略 的 行为 或 
者 攻击 迹象 ， 并 发 出 警报 。 其 设计 宗旨 是 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ， 但 
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监视 网 络 及 网 络 拦截 需要 信息 网 络 法 的 法 律 支持 ， 使 其 可 以 对 违反 法 律 的 个 例 予 以 法 律 制 
裁 。 同 时 ， 法 律 的 实施 也 需要 IDS 的 检测 。 


26. 简 述 密 摊 技术 的 特殊 用 途 。 

答 : 蜜 饶 是 一 种 在 互联 网 上 运行 的 计算 机 系统 ， 它 是 专门 为 吸引 并 “诱骗 ”那些 试图 
非法 问 入 他 人 计算 机 系统 的 人 而 设计 的 。 

为 了 吸引 攻击 者 ， 安 全 专家 通常 还 在 蜜 缸 系统 上 故意 留 下 一 些 安全 后 门 ， 以 吸引 攻击 
者 上 钧 ， 或 者 放置 一 些 攻击 者 希望 得 到 的 敏感 信息 。 当 然 ， 这 些 消息 都 是 虚假 的 信息 。 蜜 
缸 系统 是 一 个 包含 漏洞 的 诱骗 系统 ， 它 通过 模拟 一 个 或 多 个 易 受 攻击 的 主机 ， 给 攻击 者 提 
供 一 个 容易 攻击 的 目标 。 

最 重要 的 功能 是 对 系统 中 所 有 的 操作 和 行为 进行 监视 和 记录 。 另 一 个 用 途 是 拖延 攻 
者 对 真正 目标 的 攻击 ， 让 攻击 者 在 蜜 钒 上 浪费 时 间 。 

这 样 ， 最 初 的 攻击 目标 得 到 了 保护 ， 真 正 有 价值 的 内 容 没 有 受到 侵犯 。 此 外 ， 蜜 铅 也 
可 以 为 追踪 者 提供 有 用 的 线索 ， 为 起 诉 攻击 者 搜集 有 力 的 证 据 。 
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27. 用 下 载 的 蜜 饶 工 具 构造 一 个 简单 的 蜜 缸 系统 。 

答 : 所 谓 的 “ 蜜 缸 ”， 就 是 专门 部 署 一 套 易 被 攻击 的 系统 ， 目 标 是 记录 所 有 攻击 者 的 活 
动 ,研究 他 们 的 行为 ,记录 他 们 的 人 P 地 址 ， 跟 踪 他 们 的 位 置 ， 如 果 幸 运 ， 还 能 收集 到 O-day 
漏洞 。“ 蜜 负 ” 系 统 大 多 会 被 设计 成 一 种 向 攻击 者 提供 任何 服务 的 服务 器 ， 从 ssh 到 telnet， 
开放 一 些 众所周知 的 可 被 利用 的 端口 ， 如 22，23，445，135，139 等 。 部 署 蜜 饶 的 服务 器 
需要 让 攻击 者 误 以 为 有 严重 的 漏洞 ， 但 它 实 际 上 是 无 法 有 效 连接 真 正 有 价值 的 信息 的 ， 因 
此 这 些 漏洞 也 并 不 是 真正 可 利用 的 。 设 计 和 部 署 蜜 钠 需 要 谨慎 ， 因 为 配置 不 当 的 蜜 钢 系 统 
也 可 能 会 被 攻击 者 发 现 ， 进 而 产生 其 他 威胁 。 不 过 ， 这 种 情况 超出 了 本 书 谈论 的 范围 。 在 
部 署 密 把 前 ,需要 了 解密 把 可 以 被 配置 为 模拟 所 有 可 能 的 系统 , 从 Apache 服务 器 到 Windows 
XP 机 器 ， 蜜 缸 系统 上 可 以 运行 所 有 可 能 的 软件 和 服务 。 

下 面 讲述 一 种 简单 的 部 署 蜜 钠 系 统 的 方法 ， 之 所 以 说 它 简 单 ， 是 因为 你 可 以 用 到 很 多 
现成 的 工具 。 测 试 环 境 是 Linux 系统 。 

Pentbox: 个 人 蜜 钢 系 统 。 

Pentbox 是 一 个 轻 量 级 的 软件 , 允许 打开 你 的 主机 端口 , 监听 从 外 部 传 入 的 连接 请 求 ( 最 
终 是 拒绝 的 )。 

步骤 如 下 。 

(1) 下 载 Pentbox: 

wget http://downloads.sourceforge.net/project/pentbox] 8realised/pentbox-1.8.tar.gz。 

(2) 解压 安装 包 : 

tar Zxvf pentbox-1.8.tar.gz。 

(3) 进入 pentbox 目录 : 

cd pentbox-1.8/。 
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(4) 运行 pentbox: 
./pentbox.rb。 


28. 收集 国内 外 有 关 入 侵 检测 、 网 络 诱骗 的 最 新 动态 。 

答 : 网 络 诱骗 常见 的 BOF、Specter、Honeyd 和 ManTrap 等 软件 ， 以 Honeyd 为 例 ， 
其 就 是 一 款 专 用 的 蜜 缸 系统 构建 软件 ， 它 不 但 可 以 虚拟 多 种 主机 ， 而 且 对 于 不 同 的 服务 和 
操作 系统 的 兼容 性 也 较 好 ， 其 良好 实现 了 伪装 真实 的 目标 系统 ， 进 而 实现 攻击 者 对 其 进行 
攻击 的 目的 。 此 外 ， 蜜 钠 技 术 还 具有 转移 攻击 者 注意 力 、 消 耗 其 攻击 资源 和 意志 力 的 多 重 
作用 ， 从 另 一 个 方面 实现 了 保护 真实 目标 系统 的 目的 。 所 以 ， 使 用 蜜 镀 技 术 作为 网 络 诱骗 
的 技术 手段 ， 不 但 可 以 减少 网 络 攻击 的 漏 报 率 和 误 报 率 ， 而 且 可 良好 地 实现 对 攻击 者 新 攻 
击 方法 和 工具 的 收集 ， 从 而 实现 了 诱骗 决策 的 实时 调控 。 为 了 在 大 型 分 布 式 网 络 中 在 部 署 
和 维护 蜜 缸 技术 时 更 加 方便 ， 必 须 匹 配 相 应 的 密 场 技术 ， 即 对 各 个 子 网 的 安全 威胁 进行 集 
中 收集 。 一 般 地 ， 其 可 被 视 为 网 络 安全 工作 中 的 一 个 重要 组 成 部 分 ， 在 网 络 安全 管理 和 研 
究 人 员 进 行 网 络 安全 的 部 署 和 维护 时 ， 由 于 密 场 技术 的 集中 性 特点 ， 蜜 缸 技术 的 维护 ， 数 
据 的 更 新 、 分 析 、 管 理 等 工作 都 会 变 得 较为 简单 ， 而 且 这 种 密 场 中 集中 部 署 蜜 钠 的 情况 也 
让 网 络 安 全 风险 更 易 控制 。 此 外 ， 随 着 网 络 诱骗 系统 研发 的 不 断 深入 , 在 蜜 负 技 术 系统 中 ， 
为 了 更 好 地 保证 诱骗 系统 的 高 逼真 性 和 可 操控 性 ， 实 现 各 种 攻击 信息 采集 和 分 析 时 对 多 种 
工具 的 要 求 , 蜜 网 概念 的 提出 已 势 在 必 行 ,本质 上 讲 , 蜜 网 即 对 高 交互 的 蜜 钢 系 统 的 概括 ， 
是 诱捕 网 络 体系 架构 的 直接 体现 ， 是 以 高 效 地 收集 各 种 攻击 者 信息 为 目的 的 诱骗 技术 。 当 
然 ， 虽 然 密 网 在 诱骗 系统 的 响应 、 分 析 、 检 测 和 恢复 等 功能 上 都 有 显著 的 提高 ， 但 是 搭建 
蜜 网 需要 较 高 的 硬件 和 管理 资本 投入 ， 所 以 其 具有 一 定 的 局 限 性 。 
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第 $ 章 信息 系统 安全 管理 


5.1 第 5S 章 知识 提要 


本 章 习题 详细 解答 了 关于 信息 系统 应 急 响 应 、 数 据 备份 容错 和 容 灾 、 数 字 证 据 获取 、 
安全 风险 评估 和 审计 、 安 全 测评 准则 以 及 开放 系统 互 连 安 全 体系 结构 等 方面 的 常见 问题 和 
实践 思路 。 


5.2 第 5S 章 习题 和 答案 详解 
一 、 选 择 题 (答案 ，AABCCD AABBC) 


1. 系统 备份 与 普通 数据 备份 的 不 同 在 于 ， 它 不 仅 备份 系统 中 的 数据 ， 还 备份 系统 中 安装 的 
应 用 程序 、 数 据 库 系统 、 用 户 设置 、 系 统 参数 等 信息 ， 以 便 迅 速 
A. 恢复 整个 系统 

恢复 所 有 数据 

恢复 全 部 程序 


口 P 只 


答案 : A 
解答 : 系统 备份 是 指 备份 系统 正常 运行 需要 的 全 部 文件 以 及 其 他 数据 ， 以 便 在 系统 出 现 问 
题 后 能 够 方便 地 将 系统 还 原 到 之 前 备份 的 状态 。 


已 


. 灾难 恢复 计划 或 者 业务 连续 性 计划 关注 的 是 信息 资产 的 属性 。 
A. 可 用 性 
B. 真实 性 
C. 完整 性 
D. 保密 性 

答案 : A 
解答 : 在 美国 NIST SP 800-34《 信 息 技 术 系 统 应 急 计划 指南 》 中 ， 将 灾难 恢复 计划 
(DRP-Disaster Recovery Plan) 定义 为 在 紧急 事件 后 在 备用 场所 恢复 目标 系统 、 应 用 
或 计算 机 设施 的 以 IT 为 核心 的 计划 , 将 业务 连续 性 计划 (BCP-Business Continuity Plan ) 
定义 为 在 中 断 发 生 或 发 生 后 维持 组 织 机 构 的 业务 功能 。 因 此 , DRP 和 BCP 关 注 的 是 信 
息 资产 的 可 用 性 。 
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3. 数据 备份 常用 的 方式 主要 有 : 完全 备份 、 增 量 备份 和 


A. 


B. 
C. 
D. 


解答 : 


4. 审 


局 中 四 产 


解答 : 


逻辑 备份 
按 需 备份 
差异 备份 
物理 备份 

答案 : BC 
完全 备份 (full backup) 指 的 是 对 整个 系统 或 用 户 指定 的 所 有 文件 数据 进行 一 次 完全 
的 备份 。 增 量 备 份 (incremental backup) 只 备份 上 次 备份 后 作 过 更 新 的 文件 。 差 异 备 
份 (differential backup) 是 每 次 只 备份 上 次 全 盘 备 份 之 后 更 新 过 的 数据 。 按 需 备 份 是 
指 在 正常 的 备份 之 外 , 有 选择 地 进行 的 额外 备份 操作 (例如 , 对 于 非常 关键 的 数据 )。 
计 管 理 是 指 


. 保证 数据 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 致 
. 防止 因数 据 被 截获 而 造成 的 泄密 

. 对 用 户 和 程序 使 用 资源 的 情况 进行 记录 和 审查 

. 信息 使 用 者 都 可 有 得 到 相应 授权 的 全 部 服务 


答案 ; C 
安全 审计 管理 的 主要 活动 包括 : @ 选 择 将 被 记录 和 被 远程 收集 的 事件 。@@ 授 予 或 取 
消 对 所 选 事 件 进行 审计 跟踪 日 志 记录 的 能 力 。@ 所 选 审计 记录 的 远程 收集 。@ 准 备 
安全 审计 报告 。 


5. 关于 安全 审计 目的 的 描述 ， 错 误 的 是 


. 识别 和 分 析 未 经 授权 的 动作 或 攻击 
. 记录 用 户 活动 和 系统 管理 

. 将 动作 归结 到 为 其 负责 的 实体 

. 实现 对 安全 事件 的 应 急 响应 


答案 : D 


: 信息 安全 审计 主要 指 按照 一 定 的 安全 策略 ， 利 用 记录 、 系 统 活 动 和 用 户 活动 等 信息 


检查 、 审 查 和 检验 操作 事件 的 环境 及 活动 ， 从 而 发 现 系 统 漏洞 、 入 侵 行为 或 改善 系 
统 性 能 的 过 程 。 


6. 安全 审计 跟踪 是 


A. 
B. 
C. 
D. 


解答 : 


安全 审计 系统 检测 并 追踪 安全 事件 的 过 程 
安全 审计 系统 收集 易于 安全 审计 的 数据 的 过 程 
人 利用 日 志 信息 进行 安全 事件 分 析 和 追溯 的 过 程 


对 计算 机 系统 中 的 某 种 行为 的 详尽 跟踪 和 观察 
答案 : A 
审计 跟踪 (audit trail) 是 指 按 事件 顺序 检查 、 审 查 、 检 验 其 运行 环境 及 相关 事件 活动 
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7.“ 保 护 数 据 库 ， 防 止 因 未 经 授权 的 或 不 合法 的 使 用 造成 的 数据 泄露 、 更 改 、 破 坏 .” 这 是 
指数 据 的 “保护 。 
A. 安全 性 
B. 完整 性 
C. 并 发 
D. 恢复 
答案 : A 
解答 : 保护 数据 库 ， 防 止 因 未 经 授权 的 或 不 合法 的 使 用 造成 的 数据 泄露 、 更 改 、 破 坏 。 保 
护 数据 库 ， 防 止 因 未 经 授权 的 或 不 合法 的 使 用 造成 的 数据 泄露 、 更 改 、 破 坏 。 


8. 信息 安全 评测 标准 CC 是 标准 。 
美国 

. 国际 

中 国 

. 加 拿 大 


HOWS 


答案 : B 
解答 : 1993 年 6 月 ， 美 国政 府 同 加 拿 大 及 欧 共 体 共同 起 草 了 单一 的 通用 准则 (CC 标准 ) 并 将 
其 推 到 国际 标准 。 制 定 CC 标 准 的 目的 是 建立 一 个 各 国都 能 接受 的 通用 的 信息 安全 产 
品 和 系统 的 安全 性 评估 准则 。 在 美国 的 TCSEC、 欧 洲 的 ITSEC、 加 拿 大 的 CTCPEC、 
美国 的 FC 等 信息 安全 准则 的 基础 上 ,由 6 个 国家 美国、 加 拿 大 、 英 国 、 法 国 、 德 国 、 
荷兰 ) 共同 提出 了 “信息 技术 安全 评价 通用 准则 (The Common Criteria for Information 
Technology security Evaluation，CC)”， 简 称 CC 标 准 ， 它 综合 了 已 有 的 信息 安全 的 准 
则 和 标准 ， 形 成 了 一 个 更 全 面 的 框架 。 


9. 我 国 《 信 息 系统 安全 等 级 保护 基本 要 求 》 中 ， 对 不 同 级 别 的 信息 系统 应 具备 的 基本 安全 
保护 能 力 进行 了 要 求 ， 共 划分 为 级 。 
A. 4 


B. 5 
已 者 
了 
答案 : B 
解答 :《 信 息 安全 技术 信息 系统 安全 等 级 保护 基本 要 求 》(GB/T 22239 一 2008) 中 关于 信息 
系统 安全 保护 等 级 的 定义 信息 系统 根据 其 在 国家 安全 、 经 济 建设 、 社 会 生活 中 的 


重要 程度 ， 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 其 他 组 
织 的 合法 权益 的 危害 程度 等 , 由 低 到 高 划分 为 五 级 , 五 级 定义 见 GB/T 22240 一 2008。 
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10. 在 CC 中 ， 称 为 访问 控制 保护 级 别 的 是 。 
A. Cl 
B. Bl 
C2 
D. B2 
答案 : C 
解答 : C2 级 系统 : 在 C1 级 的 基础 上 , 通过 登录 、 安全 事件 和 资源 隔离 增强 可 调 的 审慎 控制 。 
连接 到 网 上 时 ， 用 户 分 别 对 自己 的 行为 负责 。 


二 、 问 答题 


1. 简 述 紧急 响应 的 意义 。 

答 : 紧急 响应 的 意义 主要 表现 在 未 雨 绸 纪 和 亡羊补牢 两 个 方面 。 

(1) 未 雨 绸 竣 ， 事 件 发 生前 做 好 充分 的 准备 。 管 理 层面 进行 安全 培训 ， 制 定安 全 策略 
和 应 急 预 案 ， 开 展 风险 评估 等 ， 技 术 层面 增强 系统 安全 性 。 

(2) 亡羊补牢 ， 事 件 发 生 后 采取 抑制 、 根 除 和 恢复 等 措施 ， 尽 可 能 减少 损失 或 尽快 恢 
复 正 常 运行 ， 如 收集 系统 特征 ， 检 测 病毒 和 木马 等 恶意 代码 ， 限 制 或 关闭 网 络 服务 ， 系 统 
恢复 ， 反 击 和 跟踪 总 结 等 活动 。 


2. 试 述 紧急 响应 服务 在 实现 目的 方面 受 哪些 因素 制约 。 

答 : 紧急 响应 服务 是 解决 网 络 系统 安全 问题 的 有 效 服 务 手 段 之 一 , 在 实施 紧急 响应 时 ， 
也 受 以 下 方面 的 制约 。 

(1) 技术 复杂 性 与 专业 性 的 制约 ， 当 前 信息 系统 、 网 络 、 应 用 涉及 各 种 硬件 平台 、 各 
类 操作 系统 、 种 类 繁多 的 应 用 软件 以 及 形形色色 的 工作 人 员 ， 技 术 的 复杂 度 和 处 理事 件 所 
需 的 专业 程度 相当 高 。 

(2) 服务 人 员 知 识 经 验 的 制约 : 应 急 响 应 是 由 人 提供 服务 ， 从 事 应 急 响应 服务 的 人 员 
应 具备 丰富 的 经 验 ， 了 解 频繁 发 生 或 可 能 发 生 的 事件 主要 类 型 以 及 风险 。 应 急 响 应 的 成 败 
很 大 程度 上 取决 于 应 急 服务 人 员 的 知识 和 经 验 。 

(3) 事件 的 突 发 性 : 安全 事件 有 可 能 发 生 在 任何 时 候 、 任 何 场所 ， 对 突 发 情况 的 反应 
能 力 ， 也 是 制约 应 急 响应 服务 的 重要 因素 。 

(4) 广泛 的 协调 和 合作 : 尽管 大 多 数 情况 下 技术 人 员 是 安全 事件 处 理 的 主要 人 员 ， 但 
还 需要 管理 能 力 、 法 律 知识 、 人 际 关系 、 写 作 能 力 、 心 理学 等 方面 的 知识 。 有 效 的 应 急 响 
应 不 只 是 简单 的 技术 诊断 或 凭借 技巧 解决 某 些 问题 ， 具 有 不 同 技能 的 、 上 共有 全 面 综 合 能 力 
的 团队 也 是 关键 因素 。 


3. 如 何 制订 紧急 响应 预案 ? 
答 : 应 急 响应 预案 又 称 应 急 响 应 计划 ， 是 组 织 为 应 对 突 发 或 重大 信息 安全 事件 而 编制 
的 ， 对 包括 信息 系统 运行 在 内 的 业务 运行 进行 维持 或 恢复 的 策略 和 规程 。 


“I09.® 


(1) 应 急 响 应 预案 编制 准备 : 进行 风险 评估 、 业 务 影响 性 分 析 (BIA)， 根 据 风 险 分 析 
和 业务 影响 分 析 的 结果 进行 成 本 效益 分 析 ， 确 定 应 急 响 应 策略 。 

(2) 应 急 响 应 预案 编制 : 一 般 情 况 下 ， 应 急 预 案 应 包括 总 则 、 角 色 及 职责 、 预 防 和 预 
警 机 制 、 应 急 响应 流程 、 应 急 响 应 保障 措施 和 附件 六 个 部 分 。 预 案 应 当 描述 支持 应 急 操作 
的 技术 能 力 ， 并 适应 机 构 要 求 。 在 详细 程度 和 灵活 程度 之 间 取 得 平衡 ， 并 根据 实际 情况 对 
内 容 进行 适当 的 调整 、 充 实 和 本 地 化 ， 应 能 为 信息 安全 事件 中 不 熟悉 计划 的 人 员 提 供 快捷 
明确 的 指导 。 

(3) 应 急 响 应 预案 测试 、 培 训 、 演 练 和 维护 : 为 了 检验 预案 的 有 效 性 ， 同 时 使 相关 人 
员 了 解 信息 安全 应 急 预 案 的 目标 和 流程 ， 熟 悉 应 急 响 应 的 操作 规程 ， 应 进行 应 急 预 案 的 测 
试 、 培 训 和 演练 。 同 时 ， 为 了 保证 应 急 响 应 计划 的 有 效 性 ， 在 以 下 情况 下 应 对 预案 进行 维 
护 修订 : 业务 流程 编号 、 信 息 系统 变更 、 人 员 变 更 ，@ 对 测试 、 演 练 和 执行 效果 进行 评 
佑 ， 根 据 评估 情况 对 预案 进行 相应 修订 ，@ 至 少 每 年 对 预案 进行 一 次 评审 和 修订 。 


4. 尽 可 能 多 地 列举 一 些 安全 事件 。 

答 : (1) 2017 年 2 月 ， 俄 罗斯 黑 帽 黑客 Rasputin 利用 SQL 注入 漏洞 获得 了 系统 的 访问 
权限 ， 黑 掉 了 60 多 所 大 学 和 美国 政府 机 构 的 系统 ， 并 从 中 窃取 了 大 量 的 敏感 信息 。 遭 到 
Rasputin 攻击 的 受害 者 包括 10 所 英国 大 学 、20 多 所 美国 大 学 以 及 大 量 美国 政府 机 构 ， 如 邮 
政 管理 委员 会 、 联 邦 医 疗 资源 和 服务 管理 局 、 美 国 住房 及 城市 发 展 部 、 美 国 国家 海洋 和 大 
气管 理 局 等 。 

(2) 2017 年 3 月 ， 维 基 解 密 (WikiLeaks〉 网 站 公布 了 大 量 据 称 是 美国 中 央 情 报 局 
(CIA) 的 内 部 文件 ， 其 中 包括 了 CIA 内 部 的 组 织 资料 ， 对 计算 机 、 手 机 等 设备 进行 攻击 的 
方法 技术 ， 以 及 进行 网 络 攻击 时 使 用 的 代码 和 真实 样本 。 利 用 这 些 技术 ， 不 仅 可 以 在 计算 
机 、 手 机 平台 上 的 Windows、iOS、Android 等 各 类 操作 系统 下 发 起 入 侵 攻 击 ， 还 可 以 操作 
智能 电视 等 终端 设备 ， 甚 至 可 以 遥控 智能 汽车 发 起 暗杀 行动 。 维 基 解 密 将 这 些 数据 命名 为 
“7 号 军火 库 ”(Vault 7)， 共 包含 8761 份 文件 ， 即 7818 份 网 页 以 及 943 个 附件 。 

(3) 2017 年 5 月 12 日 ，WannaCry 勒索 病毒 事件 全 球 爆 发 ， 以 类 似 于 蠕虫 病毒 的 方式 
传播 ， 攻 击 主机 并 加 密 主机 上 存储 的 文件 ， 然 后 要 求 以 比特 币 的 形式 支付 赎金 。 

(4) 2017 年 6 月 ，Petya 勒索 病毒 的 变种 开始 从 乌克兰 扩散 。 与 5 月 爆发 的 WannaCry 
相 比 ，Petya 勒索 病毒 变种 的 传播 速度 更 快 。 它 不 仅 使 用 了 NNSA“ 永恒 之 蓝 ” 等 黑客 武器 攻 
击 系统 漏洞 ， 还 会 利用 “管理 员 共享 ”功能 在 内 网 自动 渗透 。 在 欧洲 国家 重 灾区 ， 新 病毒 
变种 的 传播 速度 达到 每 10 分 钟 感染 5000 余 台 计算 机 ， 多 家 运营 商 、 石 油 公司 、 零 售 商 、 
机 场 、ATM 等 企业 和 公共 设施 已 大 量 沦陷 。 

(5) 2017 年 10 月 ， 一 个 名 为 IoT reaper 的 新 型 僵尸 网 络 出 现 。 该 僵尸 网 络 利用 路 由 
器 、 摄 像 头 等 设备 的 漏洞 ， 将 僵尸 程序 传播 到 互联 网 ， 感 染 并 控制 大 批 在 线 主 机 ， 从 而 形 
成 具有 规模 的 僵尸 网 络 。 目 前 ， 很 多 厂商 的 公开 漏洞 都 已 经 被 IoT reaper 病毒 利用 ， 其 中 
包括 Dlink (路 由 器 )、Netgear (路由器)、Linksys (路由器)、Goahead (摄像 头 )、JAWS 
(摄像 头 )、AVTECH (摄像 头 )、Vacron (NVR) 等 共 9 个 漏洞 ， 感 染 近 200 万 台 设备 ， 且 
每 天 新 增 感染 量 2300 多 次 。 
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(6) 安全 研究 人 员 在 英特尔 芯片 中 发 现 两 个 关键 漏洞 Meltdown 和 Spectre, 利用 漏洞 攻 
击 者 可 以 从 App 运行 内 存 中 窃取 数据 ， 如 密码 管理 器 、 浏 览 器 、 电 子 邮 件 、 照 片 和 文档 中 
的 数据 ， 有 媒体 指出 ，1995 年 之 后 的 每 个 系统 几乎 都 会 受到 漏洞 的 影响 ， 包 括 计 算 机 和 手 
机 ， 这 是 非常 严重 的 问题 。 


5. 简 述 应 急事 件 处 理 的 基本 流程 。 

答 : 应 急事 件 处 理 的 基本 流程 如 下 。 

(1) 准备 : 确定 重要 资产 ,分 析 存在 的 风险 ; 建立 一 组 针对 风险 合理 的 防御 /控制 措施 ; 
建立 应 急 处 理 策略 和 在 策略 指导 下 的 处 理 程序 ， 建 立 和 训练 一 个 高 效率 的 专业 应 急 响 应 团 
队 ; 准备 相关 的 资源 。 

(2) 检测 : 事件 发 生 后 的 第 一 个 反应 步骤 ， 包 括 收 集 信息 、 初 步 动 作 和 响应 、 估 计 事 
件 范围 、 初 步 报告 。 

(G3) 抑制: 抑制 的 目的 是 限制 攻击 的 范围 ， 也 就 限制 了 潜在 的 损失 和 破坏 。 

(4) 根除 : 事件 被 抑制 后 ， 接 着 是 找 出 问题 根源 和 彻底 根除 安全 事件 。 

(5) 恢复 : 恢复 的 目标 是 把 所 有 被 攻破 的 系统 和 网 络 设备 彻底 还 原 到 它们 正常 的 任务 
状态 。 

(6) 总 结 : 回顾 并 整合 发 生 事件 的 相关 信息 ， 投 入 充足 的 精力 与 时 间 对 事件 进行 一 次 
事后 的 剖析 ， 整 理事 件 与 此 次 响应 在 技术 、 过 程 与 其 他 层面 上 的 信息 与 收获 。 


6. 灾难 恢复 涉及 哪些 内 容 ? 

答 : 灾难 恢复 中 应 当 包 括 如 下 10 项 内 容 。 

(1) 与 高 层 管理 人 员 协 商 : 系统 恢复 的 步骤 应 当 符 合 组 织 的 安全 预案 。 如 果 安 全 预案 
中 没有 描述 ， 应 当 与 管理 人 员 协 商 ， 以 便 能 从 更 高 角度 进行 判断 ， 并 得 到 更 多 部 门 的 支持 
和 配合 。 

(2) 夺回 系统 控制 权 : 为 了 夺回 对 被 入 侵 系 统 的 控制 权 ， 需 要 先 将 被 入 侵 系 统 从 网 络 
上 上 断 开 ， 包 括 拨号 连接 。 如 果 在 恢复 过 程 中 没有 断 开 被 侵入 系统 和 网 络 的 连接 ， 入 侵 者 就 
可 能 破坏 所 进行 的 恢复 工作 。 

(3) 复制 一 份 被 入 侵 系统 的 映像 : 在 进行 入 侵 分 析 前 ,最 好 对 被 入 侵 系 统 进行 备份 (如 
使 用 UNIX 命令 dd)。 这 个 备份 在 恢复 失败 时 非常 有 用 。 

(4) 入 侵 评 估 : 入 侵 评 估 包 括 入 侵 风险 评估 、 入 侵 路 径 分 析 、 入 侵 类 型 确定 和 入 侵 涉 
及 范围 调查 。 下 面 介绍 围绕 这 些 工作 进行 的 调查 工作 。 

(5) 清除 后 门 : 后 门 是 入 侵 者 为 下 次 攻击 设 下 的 埋伏 ， 包 括 修改 了 的 配置 文件 、 系 统 
木马 程序 ， 修 改 了 的 系统 内 核 等 。 

(6) 查阅 CERT 的 安全 建议 、 安 全 总 结 和 供应 商 的 安全 提示 : 查阅 CERT 以 往 的 安全 
建议 和 总 结 以 及 供应 商 的 安全 提示 ， 一 定 要 安装 所 有 的 安全 补丁 。 

(7) 记录 恢复 过 程 中 所 有 的 步骤 : 毫 不 夸张 地 讲 ， 记 录 恢 复 过 程 中 采取 的 每 一 步 措施 
都 是 非常 重要 的 。 恢 复 一 个 被 入 侵 的 系统 是 一 件 很 麻烦 的 事 ， 要 耗费 大 量 的 时 间 ， 因 此 经 
常会 使 人 做 出 一 些 草 率 的 决定 。 记 录 恢 复 过 程 的 每 一 步 可 以 帮助 自己 避免 做 出 草率 的 决定 ， 
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还 可 以 留 作 以 后 参考 ， 也 可 能 给 法 律 调查 提供 帮助 。 

(8) 系统 恢复 : 各 种 安全 事件 预案 的 执行 都 是 为 了 使 系统 在 事故 后 得 以 迅速 恢复 。 对 
于 服务 器 和 数据 库 等 特别 重要 的 设备 ， 则 需要 单独 制定 紧急 恢复 预案 。 

(9) 改变 密码 : 在 弥补 了 安全 漏洞 或 者 解决 了 配置 问题 以 后 ， 建 议 改变 系统 中 所 有 账 
户 的 密码 。 

(10) 加 固 系统 和 网 络 的 安全 : 根据 CERT 的 配置 指南 检查 系统 的 安全 性 ， 安 装 安全 工 
具 ， 打 开 日 志 ， 配 置 防火 墙 对 网 络 进行 防御 等 。 


7. 灾难 恢复 涉及 哪些 技术 ? 

答 : 在 灾难 恢复 中 涉及 各 种 可 用 性 、 存 储备 份 恢复 的 技术 ， 如 外 站 仓储 、 集 群 技术 、 
复制 技术 、RAID、 全 备份 / 增 量 备份 /差分 备份 等 备份 恢复 技术 、 负 和 载 均衡 技术 、 
NAS/SAN/iSCSI 等 存储 技术 ， 以 及 网 络 、 主 机 、 应 用 领域 的 技术 等 。 


8. 简 述 数据 容错 和 数据 容 灾 之 间 的 联系 与 区 别 。 

答 : 容错 (Fault Tolerant，FT) 就 是 当 由 于 种 种 原因 在 系统 中 出 现 了 数据 、 文 件 损坏 或 
丢失 时 ， 系 统 能 够 自动 将 这 些 损 坏 或 丢失 的 文件 和 数据 恢复 到 发 生 事故 以 前 的 状态 ， 使 系 
统 能 够 连续 正常 运行 的 技术 。 广 泛 采 用 的 数据 容错 技术 有 双重 文件 分 配 表 和 目录 表 技 术 、 
快速 磁盘 检修 技术 、 磁 盘 镜像 技术 、 双 工 磁盘 技术 、 事 务 跟踪 系统 、 负 载 均衡 、LOCKSTEP 
技术 、 安 全 故障 (FAILSAFE) 软件 、 服 务 器 容错 技术 。 

真正 的 数据 容 灾 就 是 要 能 在 灾难 发 生 时 全 面 、 及 时 地 恢复 整个 系统 。 在 系统 遭受 灾害 
时 ， 使 系统 还 能 工作 或 尽快 恢复 工作 的 最 基础 的 工作 是 数据 备份 。 对 于 一 个 容 灾 系统 ， 如 
果 没 有 备份 的 数据 ， 任 何 容 灾 方 案 都 没有 现实 意义 。 从 技术 上 看 ， 衡 量 容 灾 系统 有 两 个 主 
要 指标 一 一 RPO 和 RIO。 数 据 恢复 点 目标 〈Recovery Point Object，RPO) 主要 指 的 是 业务 
系统 所 能 容忍 的 数据 丢失 量 ， 代 表 了 当 灾 难 发 生 时 允许 丢失 的 数据 量 。 恢 复 时间 目 标 
(Recovery Time Object，RIO) 主要 指 的 是 所 能 容忍 的 业务 停止 服务 的 最 长 时 间 ， 代 表 了 系 
统 恢复 的 时 间 ， 也 就 是 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 周 期 。 


9. 简 述 数据 备份 在 数据 容错 和 数据 容 灾 中 的 作用 。 

答 : 数据 备份 是 数据 容错 和 数据 容 灾 的 基础 。 在 系统 遭受 灾害 时 ， 使 系统 还 能 工作 或 
尽快 恢复 工作 的 最 基础 的 工作 是 数据 备份 。 对 于 一 个 容 灾 系统 ， 如 果 没 有 备份 的 数据 ， 任 
何 容 灾 方 案 都 没有 现实 意义 。 数 据 容错 就 是 当 由 于 种 种 原因 在 系统 中 出 现 了 数据 、 文 件 损 
坏 或 丢失 时 ， 系 统 能 够 自动 将 这 些 损坏 或 丢失 的 文件 和 数据 恢复 到 发 生 事故 以 前 的 状态 ， 
使 系统 能 够 连续 正常 运行 的 技术 。 


10. 简 述 各 种 数据 备份 技术 的 特点 。 

答 : 在 备份 技术 中 ， 有 3 种 主要 的 备份 类 型 。 

(1) 全 备份 : 对 整个 系统 中 的 所 有 文件 进行 完全 备份 ， 包 括 所 有 系统 和 数据 。 
(2) 增 量 备份 : 每 次 备份 的 数据 只 是 上 次 备份 后 更 新 的 数据 。 
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(3) 差分 备份 : 每 次 备份 的 数据 只 是 上 次 全 盘 备 份 之 后 更 新 过 的 数据 。 


11. 简 述 各 种 数据 备份 策略 的 用 途 。 

答 : 在 制定 备份 策略 和 选择 备份 方式 时 ， 须 综合 考虑 以 下 情况 。 

(1) 当 备 份 数 据 进行 大 量 修改 的 时 候 ， 应 先 做 一 次 标准 备份 。 而 且 ， 标 准备 份 可 以 作 
为 其 他 备份 的 基线 。 

(2) 增 量 备份 最 适合 用 来 经 常 变更 数据 的 备份 。 

(3) 差分 备份 可 以 把 文件 恢复 过 程 简 单 化 。 

(4) 标准 备份 与 增 量 或 差分 备份 合用 可 以 做 到 使 用 最 小 的 介质 保存 长 期 的 数据 。 


12. 收集 国内 外 有 关 应 急 响应 、 数 据 容错 或 数字 取证 的 网 站 信息 ， 简 要 说 明 各 网 站 的 
特点 。 

答 : 国内 网 站 : 

(1) 国家 互联 网 应 急 中 心 : http://www.cert.org.cn/。 

国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 (简称 “国家 互联 网 应 急 中 心 ”， 英 文 简称 是 
CNCERT 或 CNCERT/CC) 成 立 于 2002 年 9 月 ， 为 非 政府 非 营 利 的 网 络 安全 技术 中 心 ， 是 
我 国 网 络 安全 应 急 体 系 的 核心 协调 机 构 。 作 为 国家 级 应 急 中 心 ，CNCERT 的 主要 职责 是 : 
按照 “积极 预防 、 及 时 发 现 、 快 速 响 应 、 力 保 恢 复 ” 的 方针 ， 开 展 互联 网 网 络 安全 事件 的 
预防 、 发 现 、 预 警 和 协调 处 置 等 工作 ， 维 护 国 家 公共 互联 网 安全 ， 保 障 基础 信息 网 络 和 重 
要 信息 系统 的 安全 运行 ， 开 展 以 互联 网 金融 为 代表 的 “互联 网 +” 融 合 产业 的 相关 安全 监测 
亚 作 。 

(2) 国家 计算 机 病毒 应 急 处 理 中 心 : http://www.cverc.org.cn/。 

国家 计算 机 病毒 应 急 处 理 中 心 的 任务 是 发 现 、 收 集 在 我 国 流行 的 计算 机 病毒 ， 对 计算 
机 病毒 进行 解剖 、 分 析 ， 向 国家 CERT 中 心 和 公安 部 提交 病毒 疫情 分 析 报 告 ， 经 主管 机 关 
授权 后 发 布 计算 机 病毒 疫情 ， 建 立 、 维 护 中 国 计 算 机 病毒 流行 列表 ， 为 国内 用 户 提供 计算 
机 病毒 防治 的 解决 方案 ， 指 导 用 户 建立 和 实施 计算 机 病毒 防治 措施 ， 为 有 关 部 门 制定 我 国 
计算 机 病毒 防治 的 政策 、 法 规 和 标准 提供 技术 支持 ， 为 遭受 计算 机 病毒 攻击 破坏 的 我 国 计 
算 机 用 户 提供 后 援 服务 。 

(3) 腾讯 安全 应 急 响 应 中 心 : https://security.tencent.com/。 

腾讯 安全 应 急 响 应 中 心 负责 腾讯 公司 安全 漏洞 、 黑 客 入 侵 的 发 现 和 处 理工 作 ， 为 安全 
专家 提供 在 线 提交 漏洞 的 平台 ， 提 供 可 以 为 企业 快速 构建 安全 应 急 响 应 中 心 的 开放 平台 
XSRC。 

(4) 360 安全 应 急 响应 中 心 : https://security.360.cn/。 

360 安全 应 急 响 应 中 心 成 立 于 2013 年 ， 主 要 针对 360 集团 、 控 股 公 司 及 合作 伙伴 提供 
安全 应 急 响 应 服务 ， 保 卫 360 公司 数 百 款 产品 的 数据 安全 。 

(5) 百度 安全 应 急 响应 中 心 : http://sec.baidu.com/views/main/index.html#home。 

百度 安全 应 急 响 应 中 心 是 百度 致力 于 维护 互联 网 健康 生态 环境 ， 保 障 百度 产品 和 业务 
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线 的 信息 安全 ， 促 进 安全 专家 的 合作 与 交流 而 建立 的 漏洞 收集 及 应 急 响应 平台 ， 平 台 收集 
百度 公司 各 产品 线 及 业务 上 存在 的 安全 漏洞 。 

(6) 阿里 安全 响应 中 心 : https://security.alibaba.com/。 

阿里 安全 响应 中 心 录 属于 阿里 巴巴 集团 安全 部 ， 用 于 收集 阿里 巴巴 集团 各 事业 部 旗下 
相关 产品 及 业务 的 安全 漏洞 和 威胁 情报 ， 以 提升 产品 及 业务 的 安全 性 。 

(7) 京东 安全 应 急 中 心 : http://securityjd.com/。 

京东 安全 应 急 响 应 中 心 是 收集 京东 产品 相关 的 漏洞 及 威胁 情报 的 窗口 。 

(8) 工业 互联 网 应 急 响 应 中 心 : https://www.ics-cert.org.cn/portal/index.html。 

工业 互联 网 应 急 响 应 中 心 提供 工业 互联 网 安全 的 威胁 预警 、 态 势 感知 、 检 测 认证 等 方 
面 的 信息 ， 以 及 漏洞 上 报 、 漏 洞 查询 和 漏洞 下 载 功 能 。 
国外 网 站 : 

(1) Microsoft Security Response Center 

https://technet.microsoft.com/en-us/security/dn440717.aspx。 

Microsoft 安全 响应 中 心 (MSRC) 对 微软 产品 的 漏洞 报告 进行 调查 ,并 采取 了 相应 的 应 
对 措施 。 

(2) Bitscout 

https://securelist.com/bitscout-the-free-remote-digital-forensics-tool-builder/78991/。 

Bitscout 是 一 款 可 自 定义 配置 的 免费 的 远程 数字 取证 工具 。 


(3) ProDiscover Forensic 


https://www.arcgroupny.com/products/prodiscover-forensic-edition/。 

ProDiscover Forensic 可 以 帮助 调查 员 判 断 系 统 是 否 遭 到 黑客 攻击 ， 可 用 于 在 犯罪 调查 
过 程 中 查找 犯罪 证 据 。 

(4) Volatility Framework 

https://github.com/volatilityfoundation/volatility。 

Volatility 是 一 款 基 于 GNU 协议 的 开源 框架 ， 使 用 Python 语言 编写 而 成 的 内 存 取证 工 
具 集 , 可 以 分 析 内 存 中 的 各 种 数据 。Volatility 支持 对 32 位 或 64 位 Windows、Linux、Mac、 
Android 操作 系统 的 RAM (随机 存储 器 ) 数据 进行 提取 与 分 析 。 

(5) Sleuth Kit (+Autopsy) 

https://www.sleuthkit.org/。 

Sleuth Kit (+Autopsy) 是 一 个 开源 的 电子 取证 调查 工具 ， 它 可 用 于 从 磁盘 映像 中 恢复 
丢失 的 文件 ， 以 及 为 了 特殊 事件 而 进行 磁盘 映像 分 析 。 

(6) CAINE (计算 机 辅助 调查 环境 ) 

https://www.caine-live.net/。 

CAINE (计算 机 辅助 调查 环境 ) 是 基于 Ubuntu 的 GNU/Linux 自 启动 运行 发 行 ， 骨 在 填 
补 不 同 取证 工具 之 间 的 互 操作 间隙 ， 并 提供 一 致 化 的 图 形 用 户 界面 ， 以 在 电子 证 据 的 获取 
和 分 析 过 程 中 对 数字 调查 进行 指导 ， 还 为 文档 和 报告 的 编写 提供 一 个 半自动 化 的 过 程 。 
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(7) Xplico 

https://www.xplico.org/。 

Xplico 是 一 个 IP 流量 解码 器 ， 用 于 从 互联 网 流量 应 用 数据 中 提取 数据 ， 是 一 个 IP/ 互 
联网 流量 的 解码 器 或 网 络 取证 分 析 工 具 (NFAT)。 

(8) X-Ways Forensics 

http://www.x-ways.net/forensics/index-c.html。 

X-Ways Forensics 是 用 于 计算 机 取证 的 综合 的 取证 、 分 析 软 件 ， 可 在 Windows 
XP/2003/Vista/2008/7/8/8.1 及 WinPE/FE 操作 系统 下 运行 ， 有 32 位 版 和 64 位 版 。 

(9) FIRST: https://www .first.org/ 

FIRST 于 1990 年 在 美国 成 立 ， 旨 在 推动 信息 分 享 ， 在 网 络 安全 事件 中 帮助 协调 计算 
机 安全 事件 响应 中 心 (CSIRTs)。 在 全 球 范围 内 ，FIRST 的 目标 是 促进 事件 防范 的 合作 与 协 
调 ， 推 动 事件 快速 响应 ， 加 强 各 成 员 间 信 息 分 享 。FIRST 还 在 推广 网 络 安全 最 佳 实践 和 标 
准 方面 发 挥 着 重要 作用 。 


13. 收集 国内 外 有 关 应 急 响 应 、 数 据 容错 和 数字 取证 的 最 新 动态 。 

答 : (1) 应 急 响 应 :当今 的 网 络 安全 形势 严峻 ， 网 络 威胁 发 展 迅速 ， 应 急 响 应 工作 面 
临 重 大 考验 。 应 急 响 应 的 发 展 趋势 体现 在 : 在 应 急 处 理 中 开展 体系 化 对 抗 ， 从 法 制 、 机 制 、 
人 员 、 资 金 、 技 术 等 多 个 层面 建立 立体 对 抗体 系 ， 用 国家 力量 完成 网 络 应 急 ， 完 备 网 络 安 
全 应 急救 援 体 系 ， 将 事后 应 急 向 事前 和 事 中 应 急 转 变 ， 定 期 开展 国家 级 、 行 业 级 网 络 安全 
应 急 演练 。 

(2) 数据 容错 : 大 数据 时 代 来 临 ， 信 息 系统 需要 存储 和 处 理 的 数据 呈 指 数 级 增长 ， 不 
断 增长 的 海量 数据 需要 被 可 靠 存储 ， 而 分 布 式 存储 系统 庞大 的 节点 规模 和 数据 规模 大 大 提 
高 了 发 生 节点 失效 的 概率 ， 容 错 技术 成 为 大 数据 存储 中 不 可 忽视 的 关键 技术 。 

(3) 数字 取证 : 随 着 我 国 《 网 络 安全 法 》 的 实施 ， 数 字 证 据 发 挥 着 越 来 越 重要 的 作用 ， 
计算 机 取证 技术 成 为 保证 有 效 执法 的 关键 。 目前, 计算 机 取证 工具 正 朝 着 专业 化 、 自 动 化 、 
标准 化 的 方向 发 展 。 


14. 论述 数字 证 据 的 特征 。 

答 : 数字 证 据 就 是 在 计算 机 或 计算 机 系统 运行 过 程 中 产生 的 、 以 其 记录 的 内 容 证 明 案 
件 事实 的 电磁 记录 。 与 其 他 证 据 相 比 ， 它 有 如 下 特点 。 

(1) 依附 性 和 多 样 性 : 电磁 证 据 依 附 在 不 同 介质 上 ， 一 是 数字 证 据 不 会 像 传统 的 证 据 
那样 可 以 独立 存在 ; 二 是 不 同 的 介质 使 同样 的 信息 表现 出 不 同 的 形态 。 

(2) 可 伪 性 和 弱 证 明 性 : 数字 证 据 的 非 实物 性 ， 使 得 其 窃取 、 修 改 ， 甚 至 销毁 都 比较 


容易 。 
(3) 数据 的 挥发 性 ， 计 算 机 系统 中 处 理 的 数据 有 一 些 是 动态 的 。 这 些 动态 数据 对 于 发 
现 犯罪 的 蛛丝马迹 非常 有 用 。 但 是 ， 它 们 却 有 一 定 的 时 间 效应 ， 即 有 些 数据 会 因 失 效 或 消 
失 而 挥 发 。 在 收集 数字 证 据 时 ， 必 须 充分 考虑 数据 的 挥发 性 。 
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15. 上 网 搜索 ， 提 交 一 份 有 关 数 字 取 证 工具 的 报告 。 
答 : 可 以 参考 “22 款 受 欢 迎 的 计算 机 取证 工具 ”: 
http://www.freebuf.com/sectool/136921.html。 


16. 如 何 保证 数字 证 据 的 安全 ? 

答 : 计算 机 取证 中 的 保护 工作 主要 目的 是 对 目标 环境 进行 保护 ， 避 免 取证 导致 证 据 彻 
底 丢 失 和 数据 进一步 破坏 ， 保 护 工作 应 注意 : 

(1) 保证 数据 安全 性 ， 明 确 哪些 取证 操作 可 能 导致 证 据 或 数据 彻底 丢失 ， 避 免 使 用 这 
些 类 型 的 操作 ， 如 制作 磁盘 映像 ， 尽 量 不 在 原始 磁盘 上 操作 。 

(2) 保证 数据 完整 性 ， 明 确 哪些 取证 操作 可 能 破坏 证 据 完整 性 ， 取 证 中 不 使 用 可 能 
坏 完整 性 的 操作 。 


17. 审计 与 入 侵 检测 技术 有 什么 关系 ? 

答 : 审计 是 事后 认定 违反 安全 规则 行为 的 分 析 技 术 ， 在 检测 违反 安全 规则 方面 、 准 确 
发 现 系统 发 生 的 事件 以 及 对 事件 发 生 的 事后 分 析 方 面 发 挥 巨大 作用 。 人 入 侵 检测 技术 也 是 通 
过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 收集 信息 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 
违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 审 计 侧重 于 事后 分 析 ， 两 者 本 质 上 都 是 日 志 分 析 技 
术 , 审计 需要 对 用 户 行为 进行 全 程 记录 , 入 侵 检 测 一 般 只 监控 异常 或 违反 规则 策略 的 事件 。 


18. 简 述 安全 审计 的 作用 。 

答 : 简单 地 说 ， 安 全 审计 应 当 具 有 下 面 的 作用 。 

(1) 记录 关键 事件 。 关 键 事件 的 界定 由 安全 官员 决定 。 

(2) 对 潜在 的 攻击 者 进行 威慑 或 警告 。 

(3) 为 系统 安全 管理 员 提供 有 价值 的 系统 使 用 日 志 ， 帮 助 系统 管理 员 及 时 发 现 入 侵 行 
为 和 系统 漏洞 ， 使 安全 管理 人 员 可 以 知道 如 何 对 系统 安全 进行 加 强 和 改进 。 

(4) 为 安全 官员 提供 一 组 可 供 分 析 的 管理 数据 ， 用 于 发 现 何 处 有 违反 安全 方案 的 事 
件 ， 并 可 以 根据 实际 情形 调整 安全 政策 。 


19. 简 述 日 志 的 作用 和 记录 内 容 。 

答 : 日 志 (log) 是 系统 指定 对 象 的 某 些 操作 和 其 操作 结果 按时 间 有 序 的 集合 ， 是 记录 
信息 系统 安全 状态 和 问题 的 原始 数据 。 通 常 ， 系 统 日 志 是 用 户 可 以 直接 阅读 的 文本 文件 。 
每 个 日 志文 件 都 由 日 志 记 录 组 成 ， 每 条 日 志 记 录 描 述 了 一 次 单独 的 系统 事件 。 典 型 的 日 志 
内 容 有 以 下 几 种。 

(1) 事件 的 性 质 : 数据 的 输入 和 输出 、 文 件 的 更 新 〈 改 变 或 修改 )、 系 统 的 用 途 或 期 望 。 

(2) 全 部 相关 标识 : 人、 设备 和 程序 。 

(3) 有 关 事 件 的 信息 : 日 期 和 时 间 ， 成 功 或 失败 ， 涉 及 因素 的 授权 状态 ， 转 换 次 数 ， 
系统 响应 ， 项 目 更 新 地 址 ， 建 立 、 更 新 或 删除 信息 的 内 容 ， 使 用 的 程序 ， 兼 容 结果 和 参数 
检测 ， 侵 权 步 又 等 。 对 大 量 生成 的 日 志 ， 要 适当 考虑 数据 的 保存 期 限 。 
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日 志文 件 中 的 记录 可 提供 以 下 用 途 。 

(1) 监控 系统 资源 ， 审 计 用 户 行为 对 可 疑 行为 进行 告警 。 

(2) 确定 入 侵 行 为 的 范围 ; 为 恢复 系统 提供 帮助 ; 生成 调查 报告 。 
(3) 为 打击 计算 机 犯罪 提供 证 据 来 源 。 


20. 审计 与 入 侵 检 测 有 什么 关联 ? 

答 : 〈1) 信息 系统 安全 审计 主要 指 对 与 安全 有 关 的 活动 的 相关 信息 进行 识别 、 记 录 、 
存储 和 分 析 ， 审 计 记 录 的 结果 用 于 检查 网 络 上 发 生 了 哪些 与 安全 有 关 的 活动 ， 谁 〈 哪 个 用 
户 ) 对 这 个 活动 负责 ;主要 功能 包括 安全 审计 自动 响应 、 安 全 审计 数据 生成 、 安 全 审计 分 
析 、 安 全 审计 浏览 、 安 全 审计 事件 选择 和 安全 审计 事件 存储 等 。 

(2) 入 侵 检测 是 指 检测 计算 机 系统 或 网 络 中 发 生 的 事件 并 分 析 这 些 事件 ， 以 查找 可 能 
的 事故 的 过 程 ， 这 些 事故 违反 或 者 即将 违反 计算 机 安全 策略 、 可 接受 使 用 策略 或 标准 安全 
实践 。 入 侵 检测 系统 (IDS) 是 自动 化 入 侵 检测 过 程 的 软件 和 硬件 的 组 合 。 

入 侵 检测 一 般 只 监控 异常 或 违法 规则 策略 的 事件 ， 并 给 出 报警 ， 而 安全 审计 要 保证 例 
行事 件 和 例外 事件 都 能 充分 记录 ， 以 便 事 后 的 调查 能 确定 是 否 有 违背 安全 的 事件 发 生 。 入 
侵 检测 的 记录 是 安全 审计 的 输入 之 一 。 


21. 收集 国内 外 有 关 安 全 审计 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

答 : 中 华人 民 共 和 国 审计 署 : http://www.audit.gov.cn/index.html。 

审计 署 是 中 华人 民 共 和 国 国务 院 25 个 组 成 部 门 之 一 ， 在 国务 院 总 理 领导 下 ， 主 管 全 国 
的 审计 工作 。 

中 国 审计 网 : http://www.iaudit.cn/。 

中 国 审计 网 的 业务 涵盖 国家 审计 、 内 部 审计 、 外 部 审计 、 组 织 治理 、 风 险 管理 和 内 痢 
控制 等 领域 。 

中 国信 息 系统 审计 师 联盟 : http://www.chinacisa.org/。 

中 国信 息 系统 审计 师 联 盟 是 一 个 非 营利 性 的 公益 组 织 ， 旨 在 为 国内 信息 系统 审计 相关 
人 员 及 企业 提供 一 个 IT 治理 与 风险 管理 领域 互动 的 沟通 平台 , 分 享 与 完善 IT 风险 管理 控制 
体系 建设 工作 经 验 、IT 审计 知识 经 验 ， 从 而 促进 CISA 在 中 国 的 发 展 和 壮大 ， 以 及 IT 审计 
在 中 国 的 实际 应 用 。 
国际 信息 系统 审计 协会 ISACA: https://www.isaca.org/pages/default.aspx。 
国际 信息 系统 审计 协会 是 一 个 为 信息 管理 、 控 制 、 安 全 和 审计 专业 设 定 规范 的 全 球 性 
组 织 。 


22. 收集 国内 外 有 关 安 全 审计 的 最 新 动态 。 

答 : 2001 年 至 今 ， 美 国安 然 事件 及 由 此 引发 的 一 系列 美国 著名 大 公司 在 公司 治理 和 财 
务 管理 力 方面 的 问题 ， 促 使 美国 陆续 出 台 了 多 个 具有 较 强 影响 力 的 行业 法 案 ， 如 2002 年 美 
国 出 台 的 Sarbanes-Oxley 法 案 〈 塞 班 斯 一 奥克斯 利 法 案 )， 其 中 第 404 条 款 要 求 企业 在 财务 
告 方面 加 强 内 控 , 企业 的 CEO 和 CFO 必须 对 本 企业 的 内 控 系 统 的 有 效 性 发 表 诚信 声明 。 
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因此 ，IT 信息 系统 同样 需要 加 强 控制 ， 以 达到 SOX 法 案 的 合 规 要 求 ，2005 年 针对 IT 信息 
系统 的 SOX 合 规 审计 成 为 全 球 CIO 最 关注 的 事 。 目 前 ， 西 方 发 达 国家 的 信息 系统 审计 应 用 
己 较 普遍 , 并 发 展 到 了 较 高 的 水 平 。 信 息 系 统 安全 审计 是 信息 系统 审计 全 过 程 的 组 成 部 分 ， 
主要 依据 标准 包括 COBIT、CC、ITIL 等 信息 安全 管理 标准 。 信 息 系统 安全 审计 是 评判 一 个 
信息 系统 是 否 真 正安 全 的 重要 标准 之 一 。 通 过 安全 审计 收集 、 分 析 、 评 估 安 全 信息 、 掌 握 
安全 状态 ， 制 定安 全 策略 ， 确保 米 个 安 全 体系 的 完备 性 、 合 理性 和 适用 性 ， 才 能 将 系统 调 
整 到 “最 安全 ”和 “最 低 风 险 ”的 状态 。 安 全 审计 已 成 为 企业 内 控 、 信 息 系 统 安全 风险 控 
制 等 不 可 或 缺 的 关键 手段 ， 也 是 威慑 、 打 击 内 部 计算 机 犯罪 的 重要 手段 。 

与 国外 相 比 ， 中 国 的 信息 系统 安全 审计 起 步 较 晚 ， 相 关 信息 安全 审计 技术 、 信 息 安全 
审计 规范 和 信息 安全 审计 制度 等 都 有 待 进一步 完善 。1999 一 2004 年 是 信息 系统 安全 审计 导 
1999 年 财政 部 颁布 了 《独立 审计 准 由 信息 系统 环境 下 的 审计 》 

部 分 内 容 借鉴 了 国外 研究 成 果 。 这 是 国内 第 一 次 明确 提出 对 计算 信息 系统 审计 的 要 求 。2005 

年 至 今 ， 信 息 系 统 安全 审计 进入 快速 成 长 期 ， 互 联网 在 国内 的 迅速 普及 和 应 用 推动 国内 信 
息 系统 安全 审计 进入 快速 发 展 阶段 。 国 家 相关 部 门 、 金 融 行 业 、 能 源 行业 、 运 营 商 陆续 推 
出 多 项 针对 信息 系统 风险 管理 的 政策 法 规 ， 推 动 国内 信息 系统 安全 审计 快速 发 展 。 目 前 ， 
随 着 信息 安全 建设 的 深入 ， 安 全 审计 已 成 为 国内 信息 安全 建设 的 重要 技术 手段 。 


23. 风险 评估 对 于 信息 系统 安全 有 什么 意义 ? 

答 : 从 信息 安全 的 角度 讲 ， 风 险 评估 是 对 信息 资产 面临 的 威胁 、 存 在 的 弱点 、 造 成 的 
影响 ， 以 及 三 者 综合 作用 所 带 来 风险 的 可 能 性 的 评估 ， 作 为 风险 管理 的 基础 ， 风 险 评 估 是 
组 织 确定 信息 安全 需求 的 一 个 重要 途径 ， 属 于 组 织 信息 安全 管理 体系 策划 的 过 程 。 

信息 安全 风险 评估 是 信息 安全 建设 的 起 点 和 基础 。 信 息 安全 风险 评估 工作 是 科学 分 析 
信息 和 信息 系统 的 保密 性 、 完 整 性 、 可 用 性 等 方面 面临 的 风险 ， 综 合 平衡 风险 大 小 和 管理 
风险 所 需 付 出 的 代价 ， 在 风险 的 预防 、 风 险 的 控制 、 风 险 的 转移 、 风 险 的 补偿 、 风 险 的 分 
散 、 风 险 的 接受 等 之 间 做 出 合理 的 选择 ， 只 有 这 样 ， 信 息 安全 建设 才能 做 到 从 实际 出 发 
才能 坚持 需求 主导 、 突 出 重点 ， 才 能 以 最 小 的 代价 最 大 限度 地 保障 安全 。 


24. 为 一 个 组 织 的 信息 系统 进行 安全 风险 评估 。 
答 : 对 一 个 组 织 的 信息 系统 进行 安全 风险 评估 的 流程 如 图 5-1 所 示 。 具体 过 程 可 参考 国 
家 标准 《GB/T 31509-2015 信息 安全 技术 信息 安全 风险 评估 实施 指南 》。 


25. NAI 公司 开发 了 一 个 用 于 安全 风险 评估 的 扫描 器 CyberCop Scanner, 试 安装 并 使 用 
该 工具 。 

答 : CyberCop Scanner 能 检测 出 很 多 漏洞 ， 报 告 功能 也 比较 强大 ， 还 附带 有 很 多 实用 工 
具 。 其 中 两 个 很 特别 的 工具 是 CASL 和 SMB grinder，CASL 可 以 以 GUI 方式 构建 人 P 数据 
包 ， 而 SMB grinder 具有 与 LOphtGrack 类 似 的 口令 破解 功能 。 

LOphtGrack 工具 : http://www.l0phtcrack.com/ 

CyberCop Scanner 工具 : https://www.exploit-db.com/exploits/39452/ 
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实施 风险 管理 
图 5-1 信息 安全 风险 评估 实施 指南 


26. 为 学 生成 绩 管 理 系统 设计 一 个 安全 策略 。 这 个 系统 最 少 要 有 学 生 、 教 师 和 管理 人 员 
访问 。 

答 : 假设 学 生成 绩 管理 系统 的 基础 运行 环境 〈 如 物理 、 网 络 、 主 机 等 )， 已 部 署 和 配置 
适用 的 安全 设备 和 策略 ， 学 校 已 建立 较为 完备 的 信息 安全 管理 体系 ， 在 应 用 和 数据 层面 ， 
设计 安全 策略 时 ， 须 考虑 以 下 内 容 。 

(1) 学 生 、 教 师 和 系统 管理 员 用 户 的 身份 鉴别 。 对 于 系统 管理 员 ， 用 户 建议 采用 两 种 
或 两 种 以 上 组 合 的 鉴别 技术 实现 用 户 身份 鉴别 ， 保 证 应 用 系统 中 不 存在 重复 用 户 身份 标识 ， 
身份 鉴别 信息 不 易 被 冒 用 。 

(2) 基于 学 生 、 教 师 和 系统 管理 员 用 户 角色 的 访问 控制 。 控 制 用 户 对 文件 、 数 据 库 表 
等 客体 的 访问 ， 授 予 不 同 账户 为 完成 各 自 承 担任 务 所 需 的 最 小 权限 ， 并 在 它们 之 间 形 成 相 
互 制约 的 关系 。 

(3) 覆盖 每 个 用 户 ， 实 现 对 学 生成 绩 管理 系统 重要 安全 事件 的 审计 。 

(4) 保证 通信 过 程 的 完整 性 和 保密 性 。 

(5) 关键 数据 的 完整 性 、 保 密 性 保护 ， 以 及 备份 和 恢复 。 
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27. 在 一 个 具有 读 、 写 、 准 许 和 取消 4 种 访问 操作 的 系统 中 ,准许 操作 可 以 授予 其 他 主 
体 读 和 写 的 访问 权限 ， 并 且 还 可 以 授予 其 他 主体 发 布 对 你 拥有 的 资源 的 访问 权限 。 如 果 要 
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使 用 准许 和 取消 操作 控制 对 你 拥有 的 一 个 客体 的 所 有 访问 ， 应 当 采 用 什么 样 的 数据 结构 和 
算法 实现 准许 和 取消 操作 。 

答 : 根据 题 意 ， 需 要 实现 的 功能 是 自主 访问 控制 ， 可 以 采用 访问 控制 矩阵 〈ACM) 实 
现 准许 和 取消 操作 。 访 问 控制 矩阵 是 一 个 包含 有 主体 和 客体 的 表 ， 它 规定 每 一 个 主体 对 每 
一 个 客体 所 能 执行 的 操作 。 


28. 给 出 一 个 中 等 规模 的 局 域 网 (包含 一 些 子 网 ， 但 不 跨 多 个 地 域 )， 为 其 设计 一 个 安 
全 解决 方案 。 

答 : 在 设计 安全 解决 方案 前 ， 应 明确 该 局 域 网 所 承载 的 业务 系统 、 网 络 结构 、 网 络 应 
用 ， 分 析 网 络 系统 面临 的 信息 安全 风险 ， 包 括 物理 层面 、 网 络 层面 、 主 机 层面 、 应 用 和 数 
据 层面 的 安全 分 析 以 及 管理 风险 ， 基 于 风险 分 析 结果 明确 局 域 网 安全 需求 ， 进 而 选择 能 够 
满足 安全 需求 的 安全 机 制 和 安全 措施 。 一 般 情况 下 ， 对 于 中 等 规模 的 局 域 网 ， 其 网 络 层面 
的 安全 解决 方案 应 考虑 以 下 内 容 。 

(1) 网 络 结构 安全 : 包括 主要 设备 的 业务 处 理 能 力 、 带 宽 、 路 由 控制 、 子 网 划分 、 网 
段 间隔 离 等 。 

(2) 访问 控制 ， 明 确 网 络 边界 ， 在 边界 部 署 访 问 控制 设备 ， 启 用 访问 控制 功能 ， 对 应 
用 层 协议 进行 过 滤 与 控制 ， 对 重要 子 网 或 网 段 采 取 技 术 手段 防止 地 址 欺骗 ， 按 照 用 户 与 系 
统 之 间 的 允许 访问 规则 实现 访问 控制 等 。 


记录 并 分 析 ， 保 护 审计 记录 。 

(4) 边界 完整 性 ， 防 止 非法 接 入 网 络 或 内 部 用 户 非法 外 联 。 

(5) 入 侵 防范 : 在 网 络 边界 处 监视 以 下 攻击 行为 : 端口 扫描 、 强 力 攻 击 、 木 马 后 门 攻 
击 、 拒 绝 服务 攻击 、 缓 冲 区 溢出 攻击 、 卫 碎片 攻击 和 网 络 蠕虫 攻击 等 。 

(6) 恶意 代码 防范 : 在 网 络 边界 处 对 恶意 代码 进行 检测 和 清除 。 

(7) 网 络 设备 防护 ， 网 络 设 备用 户 的 身份 鉴别 、 网 络 设备 管理 员 登 录 限 制 等 。 
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29. 分 析 一 个 具体 系统 的 安全 需求 ， 并 给 出 相应 的 安全 策略 。 

答 : 对 于 一 个 具体 系统 ， 首 先 对 系统 进行 安全 风险 评估 ， 确 定安 全 需求 ， 并 制定 相应 
的 安全 策略 。 

(1) 收集 系统 所 有 相关 信息 ， 如 网 络 拓扑 、 系 统 结构 、 业 务 流 程 、 系 统 的 操作 运行 情 
况 、 物 理 环境 、 未 来 规划 等 ， 对 系统 现 有 的 安全 措施 也 要 进行 了 解 确认 。 

(2) 选择 一 个 适合 的 安全 基线 ， 根 据 系统 安全 等 级 和 安全 目标 ， 结 合 系统 实际 情况 对 
基线 要 求 进行 裁剪 或 增强 ， 作 为 系统 安全 需求 的 输入 。 

(3) 确定 系统 的 关键 资产 ， 分 析 威 胁 、 脆 弱 性 ， 评 估 系 统 的 安全 风险 。 

(4) 按照 系统 可 接受 的 风险 尺度 确定 存在 的 各 个 风险 的 处 理 策略 ， 如 转移 、 规 避 、 降 
低 或 接受 。 

(5) 需要 转移 和 规避 的 风险 由 系统 规划 作 总 体 考 虑 ， 需 要 降低 的 风险 作为 安全 需求 的 
输入 。 
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(6) 根据 风险 评估 确定 的 安全 需求 ， 选 择 能 够 满足 安全 需求 的 安全 机 制 和 安全 措施 。 
(7) 完成 安全 机 制 和 安全 措施 实施 后 ， 应 评估 确认 是 否 满足 了 安全 需求 ， 将 系统 风险 
控制 在 可 接受 范围 。 


30. 如 何 理解 OSI 安全 体系 的 安全 机 制 和 安全 服务 之 间 的 对 应 关系 ? 
答 : OSI 安全 体系 结构 给 出 了 8 种 基本 〈 特 定 的 ) 安全 机 制 ， 包 括 加 密 、 数 字 签名 、 访 
问 控制 、 数 据 完整 性 、 认 证 、 业 务 流 填充 、 路 由 控制 、 公 正 机 制 ， 使 用 这 8 种 安全 机 制 ， 
再 加 上 几 种 普遍 性 的 安全 机 制 ， 将 它们 设置 在 适当 的 CN) 层 上 , 用 以 提供 OSI 安全 体系 结 
构 5 类 安全 服务 ， 即 认证 (鉴别) 服务 、 访 问 控制 服务 、 数 据 保密 性 服务 、 数 据 完整 性 服 
务 、 抗 否认 性 服务 。 安 全 机 制 和 安全 服务 之 间 的 对 应 关系 如 图 5-2 所 示 。 
| | 


认证 机 制 
Eee | 
数字 签名 机 制 
访问 控制 机 抽 
WR 和 一 | 
路 由 控制 机 抽 
加 密 机 制 
数据 保密 性 服务 二 | 
业务 流 填充 机 抽 


数据 完整 性 服务 数据 完整 性 机 制 


抗 否认 性 服务 一 一 一 一 一 一 一 一 一 一 一 一 J 一 公证 机 制 


安全 服务 安全 机 制 
图 5-2 ”安全 机 制 和 安全 服务 之 间 的 对 应 关系 


31. 什么 是 可 信 计 算 基 ? 

答 : 在 信息 安全 等 级 标准 中 , 一 个 非常 重要 的 概念 是 可 信 计 算 基 (Trusted Computer Base， 
TCB)。TCB 是 计算 机 系统 赖 以 实施 安全 性 的 一 切 设施 ， 包 括 硬件 、 固 件 、 软 件 和 负责 安全 
策略 的 组 合 。 它 们 根据 安全 策略 处 理 主体 (系统 管理 员 、 安 全 管理 员 、 用 户 和 进程 》 对 客 
体 〈 如 进程 、 文 件 、 记 录 和 设备 等 ) 的 访问 ， 通 常 包括 下 列 部 分 。 

(1) 操作 系统 的 安全 内 核 。 

(2) 具有 特权 的 程序 和 命令 。 

(3) 处 理 敏 感 信息 的 程序 ， 如 系统 管理 命令 等 。 

(4) 与 TCB 实施 安全 策略 有 关 的 文件 。 

(5) 其 他 有 关 的 固件 、 硬 件 和 设备 。 

(6) 负责 系统 管理 的 人 员 。 

(7) 保障 固件 和 硬件 正确 的 程序 和 诊断 软件 。 

(8) 具有 抗 自 改 的 性 能 和 易于 分 析 与 测试 的 结构 。 
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32. 详细 说 明 安 全 标记 保护 级 的 可 信 计 算 基 的 功能 。 

答 : 安全 标记 保护 级 的 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ， 还 需 以 访 
问 对 象 的 安全 级 别 限制 访问 者 的 访问 权限 ， 实 现 对 访问 对 象 的 强制 访问 。 具 体 保 护 能 力 
如 下 。 

(1) 自主 访问 控制 :同系 统 审计 保护 级 。 

(2) 强制 访问 控制 :可 信 计 算 基 对 所 有 主体 及 其 控制 的 客体 (如 进程 、 文 件 、 段 和 设 
备 ) 实施 强制 访问 控制 。 通 过 敏感 标记 为 这 些 主体 及 客体 指定 安全 等 级 。 安 全 等 级 用 二 维 
组 表示 : 第 一 维 是 等 级 分 类 〈 如 秘密 、 机 密 和 绝密 等 )， 第 二 维 是 范畴 〈 如 适用 范畴 )。 它 
们 是 实施 强制 访问 控制 的 依据 。 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 可 信 
计算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 以 下 要 求 。 

外 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 且 主体 安全 级 
中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ， 主 体 才 能 读 客体 。 

@ 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 且 主体 安全 级 
中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ， 主 体 才能 写 一 个 客体 。 

可 信 计 算 基 使 用 身份 和 鉴别 数据 鉴别 用 户 的 身份 ， 并 保证 用 户 创建 的 可 信 计 算 基 外 间 
主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(3) 敏感 标记 : 是 实施 强制 访问 的 基础 。 可 信 计 算 基 应 明确 规定 需要 标记 的 客体 〈 如 
进程 、 文 件 、 段 和 设备 )， 明 确定 义 标记 的 粒度 〈 如 文件 级 、 字 段 级 等 )， 并 必须 使 其 主要 
数据 结构 具有 相关 的 敏感 标记 。 为 了 输入 未 加 安全 标记 的 数据 ， 可 信 计 算 基 向 授权 用 户 要 
求 并 接受 这 些 数据 的 安全 级 别 ， 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 :可 信 计 算 基 初始 执行 时 ， 首 先 要 求 用 户 标 识 自己 的 身份 ， 而 且 ， 可 信 
计算 基 维 护 用 户 身份 识别 数据 并 确定 用 户 的 访问 权 及 授权 数据 。 其 他 同系 统 审计 保护 级 。 

(5) 客体 重用 : 同系 统 审计 保护 级 。 

(6) 审计 : 在 系统 审计 保护 级 的 基础 上 ， 要 求 可 信 计 算 基 具有 审计 更 改 可 读 输出 记号 
的 能 力 。 

(7) 数据 完整 性 : 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破 
坏 敏感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 确保 信息 在 传送 中 未 受 损 。 


33. 结构 化 保护 级 的 主要 特征 有 哪些 ? 

答 : 与 安全 标记 保护 级 相 比 ， 结 构 化 保护 级 的 主要 特征 如 下 。 

(1) 可 信 计 算 基 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 

(2) 将 第 三 级 实施 的 (自主 或 强制 ) 访问 控制 扩展 到 所 有 主体 和 客体 ， 即 在 自主 访问 
控制 方面 ， 可 信 计 算 基 应 维护 由 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (如 主体 、 存 储 
客体 和 输入 输出 资源 ) 实施 强制 访问 控制 ， 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标记 是 
等 级 分 类 和 非 等 级 类 别 的 组 合 ， 它 们 是 实施 强制 访问 控制 的 依据 。 

(3) 审计 。 

Q 同系 统 安全 标记 保护 级 。 

@ 计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 
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(4) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授 
权 用 户 修 改 或 破坏 敏感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 确保 信息 在 传送 中 未 
受 损 。 

(5) 隐蔽 信道 分 析 。 系 统 开 发 者 应 彻底 搜索 隐蔽 存储 信道 ， 并 根据 实际 测量 或 工程 估 
算 确 定 每 一 个 被 标识 信道 的 最 大 带宽 。 

(6) 可 信 路 径 。 对 用 户 的 初始 登录 和 鉴别 ， 计 算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 
间 提 供 可 信 通 信 路 径 ， 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 


34. 收集 有 关 信 息 安全 的 定义 、 标 准 等 方面 的 最 新 概念 和 进展 。 可 以 从 下 面 的 网 站 


开始 。 
http://www.radium.ncsc.mil/tpep/process/fag.html 
http://www.itsec.gov.uk 
http://www.cse-cst.gc.ca/pub/criteria CTCPE 
答 : 国内 信息 安全 定义 、 标 准 方面 的 最 新 概念 和 进展 可 以 从 全 国信 息 安 全 标准 化 技术 
委员 会 TC260 等 的 官方 网 站 获取 : https://www.tc260.org.cn/。 

国际 信息 安全 定义 、 标 准 方面 的 最 新 概念 和 进展 可 以 从 国际 标准 化 组 织 ISO/TEC JTC1 
SC27、 美 国 NIST、 欧 盟 ENISA 等 的 官方 网 站 获取 。 
https://www.iso.org/committee/45306/x/catalogue/ 
https://www.nist.gov/ 


https://www.enisa.europa.eu/ 


35. 收集 资料 ， 分 别 给 出 下 列 操作 系统 的 安全 等 级 ， 并 说 明理 由 。 

(1> DOS; 

(2) Windows。 

(3) UNIX。 

(4) Linux。 

答 : TCSEC 是 计算 机 系统 安全 评价 的 第 一 个 正式 标准 , 于 1970 年 由 美国 国防 科学 技术 
委员 会 提出 , 于 1985 年 12 月 由 美国 国防 部 公布 。 TCSEC 把 计算 机 系统 的 安全 分 为 A、B、 
C、D 4 等 7 级 。D 等 为 最 低级 别 ，C 等 为 自主 保护 级 别 ，B 等 为 强制 保护 级 别 ，A 等 为 验 
证 保护 级 别 。 

DoS 系统 被 定义 为 D1 级 , 因 其 未 加 任何 实际 的 安全 措施 ， 所 以 只 为 文件 和 用 户 提 供 安 
全 保护 。 属 于 这 个 基本 的 操作 系统 还 有 Windows 95 和 Windows 98。 

Windows NT、Windows 2000、Windows 2003、UNIX、Linux 系统 均 能 达到 C2 级 别 。 
C1 级 系统 要 求 硬件 有 一 定 的 安全 机 制 (如 硬件 带 锁 装置 和 需要 钥匙 才能 使 用 计算 机 等 ), 用 
户 在 使 用 前 必须 登录 到 系统 。C1 级 系统 还 要 求 具有 完全 访问 控制 的 能 力 ， 应 当 允 许 系 统管 
理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 。C1 级 防护 的 不 足 之 处 在 于 用 户 直接 访问 操作 系 
统 的 根 。C1 级 不 能 控制 进入 系统 的 用 户 的 访问 级 别 ， 所 以 用 户 可 以 将 系统 的 数据 任意 移 
走 。C2 级 在 C1 级 的 某 些 不 足 之 处 加 强 了 几 个 特性 ，C2 级 引进 了 受 控 访 问 环境 (用户 权限 


I 


级 别 ) 的 增强 特性 。 这 一 特性 不 仅 以 用 户 权限 为 基础 ， 还 进一步 限制 了 用 户 执行 某 些 系统 
指令 。 授 权 分 级 使 系统 管理 员 能 够 分 用 户 分 组 ， 授 予 他 们 访问 某 些 程序 的 权限 或 访问 分 级 


目录 。 另 一 方面 ， 用 户 权 限 以 个 人 为 单位 授权 用 户 对 某 一 程序 所 在 目录 的 访问 。 如 果 


他 


程序 和 数据 也 在 同一 目录 下 ， 那 么 用 户 也 将 自动 得 到 访问 这 些 信 息 的 权限 。C2 级 系统 还 采 
用 了 系统 审计 。 审 计 特 性 跟踪 所 有 的 “安全 事件 ” 如 登录 成功 的 和 失败 的 )， 以 及 系统 


管理 


协议 


员 的 工作 ， 如 改变 用 户 访问 和 口令 。 


36. 写 出 以 下 与 信息 安全 相关 的 英文 缩写 的 全 称 。 
FTP, HTTP, NFS, DNS, UDP, TCP, IP:; 
ICMP, SMTP, SNMP, POP, IMAP:; 

S/MIME, TFTP, TELNET:; 

Rlogin, RPC, NFS, NIS; 

DCOM, ISN, SRC:; 


SYN, ACK, RST, FIN。 
答 ， 


FTP: File Transfer Protocol 文本 传输 协议 

HTTP: Hypertext Transfer Protocol 超 文 本 传输 协议 

NFS: Network File System 网络 文件 系统 

DNS: Domain Naming Service 域名 服务 

UDP: User Datagram Protocol 用 户 数据 协议 

TCP: Transmission (Transport) ”Control Protocol 传输 控制 协议 
IP: Internet Protocol 网 络 协议 

ICMP: Internet Control Message Protocol 网络 控制 信息 协议 
SMTP: Simple Mail Transport Protocol 简单 邮件 传输 协议 
SNMP: Simple Network Management Protocol 简单 网 络 管 理 协 议 
POP: Post Office Protocol ”邮局 协议 

IMAP: Internet Message Access Protocol 网 络 信息 接 入 协议 


S/MIME: Secure/Multipurpose Internet Mail Extension 安全 版 本 /多 用 途 网 际 邮件 扩充 


TFTP: Trivial File Transfer Protocol ”小 文件 传输 协议 

TELNET: Tele Network 远程 网 络 

Rlogin: Remote Login 远程 登录 

RPC: Remote Procedure Call 远程 过 程 调用 

NFS: Network File System ”网络 文件 系统 

NIS: Network Information Service 网络 信息 服务 

DCOM: Distributed Component Object Model 分 布 式 组 件 对 象 模 型 
ISN: Initial Sequence Number 初始 序列 号 
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SRC: Source 源 

SYN: Synchronization Sequence Number 同步 序列 号 
ACK: Acknowledge Character 确认 字符 

RST: Reset 复位 

FIN: Finish ”结束 
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附 2017 年 信息 安全 专业 综合 考题 及 答案 


附 1 综合 考题 一 及 答案 


一 、 选 择 题 (每 小 题 2 分 ， 共 40 分 ) 


下 


MD 


LUD 


信息 系统 安全 在 不 同 的 环境 和 应 用 中 会 得 到 不 同 的 解释 。 解 释 是 不 正确 的 。 

A. 数字 信息 处 理 系统 安全 ， 即 保证 数字 信息 处 理 过 程 中 无 错误 

B. 网 络 上 系统 信息 的 安全 ， 包 括 用 户口 令 鉴别 、 用 户 存 取 权 限 控制 、 数 据 存 取 权 限 、 方 
式 控制 、 安 全 审计 、 安 全 问题 跟踪 、 计 算 机 病毒 防治 和 数据 加 密 等 

C. 网 络 上 信息 传播 的 安全 ， 即 信息 传播 后 的 安全 ， 包 括 信息 过 滤 等 。 它 侧重 于 保护 信息 
的 保密 性 、 真 实 性 和 完整 性 。 避 免 攻 击 者 利用 系统 的 安全 漏洞 进行 窃听 、 冒 充 和 诈骗 
等 有 损 于 合法 用 户 的 行为 

D. 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶然 因素 而 遭 到 破坏 、 更 改 
或 泄露 ， 系 统 连续 、 可 靠 、 正 常 地 运行 ， 服 务 不 中 断 


. 信息 系统 安全 应 具有 4 个 方面 的 特征 ， 不 是 信息 系统 安全 的 特征 。 


A. 保密 性 ， 指 信息 不 泄露 给 非 授 权 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 

B. 完整 性 , 指数 据 未 经 授权 不 能 进行 改变 的 特性 ， 即 信息 在 存储 或 传输 过 程 中 保持 不 被 
修改 、 不 被 破坏 和 丢失 的 特性 

C. 可 执行 性 ， 指 可 被 授权 实体 允许 执行 

D. 可 控 性 ， 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 


- 信息 系统 安全 来 自 许多 威胁 因素 , 下 面 的 答案 中 不 是 信息 系统 安全 的 威胁 因素 。 


A. 非 人 为 的 、 自 然 力 造成 的 数据 丢失 、 设 备 失效 、 线 路 阻 断 
B. 人 为 的 ， 但 属于 操作 人 员 无 意 的 失误 造成 的 数据 丢失 

C. 来 自 外 部 和 内 部 人 员 的 恶意 攻击 和 入 侵 

D. 个 人 学 习 系 统 


. TCP FIN 扫 描 属于 技术 。 


A. 主机 扫描 
B. 端口 扫描 
C. 漏洞 扫描 
D. 远程 操作 系统 识别 
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二 


ProtectX 属 于 

A. 端口 扫描 监测 工具 
B. 木马 检测 工具 
9 
D. 


缓冲 区 溢出 监测 工具 
网 络 嗅 探 软 件 


. 以 下 关于 交换 式 局 域 网 中 存在 网 络 嗅 探 的 隐患 原因 ， 不 正确 的 是 


A. 交换 设备 信息 过 载 
B. ARP 欺 骗 

C. 跨 站 脚本 攻击 

D. TCP 会 话 劫持 


. 通常 情况 下 ， 客 户主 机 需要 访问 www.dhs.com 时 ， 首 先 要 知道 www.dhs.com 的 IP 地 址 。 而 


客户 主机 获得 www.dhs.com IP 地 址 的 唯一 方法 是 向 其 所 在 网 络 的 DNS 服 务 器 进行 查询 。 

一 次 DNS 域 名 解析 过 程 随即 展开 。 是 DNS 欺骗 攻击 者 可 能 做 算 改 的 。 

A. 客户 主机 软件 〈 如 Web 浏 览 器 ) 需要 对 www.dhs.com 进 行 解 析 。 它 首先 会 向 本 地 DNS 
服务 器 (nipc.com 域 发 送 域名 解析 请 求 ， 要 求 告知 www.dhs.com 的 IP 地 址 

B. 本 地 DNS 服务 器 的 数据 库 中 没有 www.dhs.com 的 记录 ， 缓 存 中 也 没有 相应 记录 ， 所 以 
它 会 依据 DNS 协议 机 器 配置 向 网 络 中 的 其 他 DNS 服务 器 提交 请 求 。 这 个 查询 请 求 将 逐 
层 递 交 ， 直 到 dhs.com 域 的 DNS 服务 器 收 到 请 求 (这 里 省 略 了 寻找 dhs.com 域 DNS 服务 
器 的 迭代 过 程 ， 假 定 本 地 DNS 服务 器 最 终 找 到 了 需要 的 信息 ) 

C. dhs.com 域 DNS 服务 器 将 向 nipc.com 域 DNS 服务 器 返回 JP 查询 结果 〔〈 假 定 查询 结果 为 
1.2.3.4) 

D. nipc.com 域 的 本 地 DNS 服务 器 最 终 将 查询 结果 返回 给 客户 主机 浏览 器 ， 并 将 这 一 结果 
存储 到 其 DNS 缓存 中 


. 防范 会 话 劫持 攻击 有 很 多 方法 ， 方法 是 不 恰当 的 。 


A. 进行 加 密 
B. 使 用 安全 协议 
C. 限制 保护 措施 
D. 身份 认证 


. 以 下 关于 强 口 令 的 特征 中 ， 是 不 正确 的 。 


A. 每 45 天 换 一 次 

B. 可 以 包含 词典 中 的 单词 

C. 至 少 包含 10 个 字符 

D. 必须 包含 一 个 字母 、 一 个 数字 、 一 个 特殊 的 符号 
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10. 


ll: 


12. 


13: 


14. 


15. 


以 下 关于 蜜 缸 技术 的 说 法 ， 是 不 正确 的 。 

A. 蜜 负 系 统 主动 吸引 攻击 者 ， 记 录 并 分 析 攻 击 者 的 攻击 行为 

B. 蜜 把 系统 拖延 攻击 者 对 真正 目标 的 攻击 

C. 只 要 攻击 者 入 侵 蜜 色 的 某 项 服务 ， 系 统 就 会 记录 下 它们 的 行为 并 观察 它们 接 下 来 的 
所 有 动人 

D. 蜜 铅 系 统 是 一 种 安全 解决 方案 ， 会 “修补 ”发 现 的 所 有 错误 


人 


不 属于 动态 网 页 技术 。 
A. MAILAB 
B. ASP 
C. CGI 
D. PHP 


下 面 关 于 RSA 算 法 ， 正 确 的 是 5 

A. RSA 属 于 非 对 称 密 码 算法 

B. RSA 属 于 对 称 密码 算法 

C. RSA 仅 可 以 用 于 数字 加 密 ， 不 可 以 用 于 数字 签名 
D. RSA 不 会 被 黑客 利用 


DES 的 最 大 缺陷 在 于 - 

A. 除 5 盒 外 ， 都 使 用 了 标准 的 算术 和 人 辑 运算 

B. 密 钥 长 度 较 短 ， 经 不 住 穷 举 攻击 

C. DES 的 “雪崩 效应 ” 即 明文 或 密 钥 的 微小 改变 将 对 密 文 产生 很 大 影响 
D.S 盒 可 能 存在 陷 门 


不 属于 用 户 身份 认证 的 范畴 。 
A. 基于 被 验证 者 所 知道 的 〈 知 识 证 明 ) 
B. 基于 被 验证 者 所 拥有 的 《〈 持 有 证 明 ) 
C. 基于 被 验证 者 的 生物 特征 (属性 证 明 》 
D. 基于 被 验证 者 的 家 属 指纹 


第 三 方 日 志 工 具 的 作用 不 包括 

A. 很 少 有 入 侵 者 能 掌握 众多 的 第 三 方 日 志 软 件 的 入 侵 和 攻击 知识 

B. 好 的 第 三 方 日 志 软 件 能 够 单独 获得 日 志 信息 ， 不 需要 操作 系统 日 志文 件 作为 开始 的 
索引 。 因 此 , 可 以 利用 这 些 信息 与 操作 系统 的 日 志 信息 进行 对 比 , 当 发 现 不 一 致 时 ， 
管理 员 立 即 可 以 知道 有 人 入 侵 了 系统 

C. 修改 banner 

D. 当 系 统 日 志 工 具 出 现 问 题 时 ， 第 三 方 日 志 产 品 可 起 到 类 似 备份 的 作用 


* 2 


je 


7 


王 
Do 
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l 不 属于 木马 技术 。 
A. 自我 复制 技术 
B. 自动 加 载运 行 技术 
C. 远程 监控 技术 
D. 动态 嵌入 技术 


. 下 面 关于 宏 病毒 的 说 法 ， 正 确 的 是 六 
A. 宏 病 毒 只 感染 Word 和 Excel 文 件 
B. 下 是 有 了 足够 强大 的 宏 语 言 的 支持 ， 宏 病毒 才 得 以 迅速 发 展 
C. 1985 年 8 月 出 现 了 第 一 个 宏 病 毒 Word Macro/Concept 
D. 相对 而 言 ， 宏 病毒 难以 编写 


. 关于 蠕虫 和 病毒 之 间 的 区 别 ， 说 法 不 正确 的 是 
A. 蠕虫 与 病毒 最 大 的 区 别 在 于 它 自 身 的 主动 性 和 独立 性 
B. 病毒 需要 插入 到 宿主 文件 中 ， 而 蠕虫 是 利用 计算 机 系统 的 漏洞 进行 传播 
C. 病毒 的 触发 传染 来 自 程序 自身 ， 而 蠕虫 的 触发 传染 来 自 计 算 机 使 用 者 
D. 病毒 的 影响 重点 是 文件 系统 ， 蠕 虫 的 影响 重点 是 网 络 和 系统 性 能 


. 代理 服务 器 型 防火 墙 实现 的 功能 不 包括 。 
A. 用 户 认 证 
B. 将 所 有 的 内 部 下地 址 都 映射 到 防火 墙 使 用 的 另 一 个 安全 耳 地 址 上 
C. 审计 跟踪 
D. 数据 加 密 


. 虚拟 专用 网 采用 的 安全 技术 不 包括 5 
A. 安全 隧道 技术 
B. 访问 控制 技术 
C. 入 侵 检测 技术 
D. 加 密 技术 


、 填 空 题 (每 小 题 2 分 ， 共 20 分 ) 


. 计算 机 病毒 的 5 个 特征 是 : 主动 传染 性 、 破 坏 性 、 、 寄 生性 (隐蔽 性 ) 和 8 
计算 机 病毒 是 ， 它 能 够 侵入 计算 机 系统 ， 并 且 能 够 通过 修改 其 他 程序 ， 把 自己 


或 者 自己 的 变种 复制 插入 其 他 程序 中 ;， 这些 程序 又 可 传染 别 的 程序 ， 实 现 繁殖 传播 。 


. Kerberos 异 域 认证 系统 的 工作 过 程 如 下 。 
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应 


口 
小 


间 


进 


Di 


Kerberos 
Kerberos 


© C—AS: Ekc[ I Dr ITS]. 

@ AS—C: Exc[KcrllIDr | TS; | || Ticketrcs]。 

图 C—TGS: Ekcr[IDrs || Ticketres || Authenticatorc] (IDm 为 B 域 TGSe 标 识 )。 

@ TGS—C: Exkcr[KersllIDrsl|TSal| Ticketrs] CKcnme 为 C 与 TGS 会话 密 钥 )。 
Ticketrp= Ekrs[KersllIDcl|ADc lIIDrsllTSallLifetimes] 

© C—TGSe: Ekcrs[IDrsllTicketrsl|Authenticatorc]。 

© TGSe 一 C: Ekcrs[Kecs | IDrs |lTSe || Ticketre]。 

® C—S: Ekcs[Ticketrsll 

其 中 ，Kc 为 C 的 用 户主 密 钥 ， 由 C 上 的 用 户口 令 导 出 ;可 与 AS 共享 ， 记 为 Kca。 

天 s 为 S 服 务 器 主 密 钥 ， 可 与 TGS 共享 ， 也 记 为 Ksr。 

KT 为 TGS 主 密 钥 ， 可 与 AS 共享 ， 记 为 Kar。 

Kcr 为 C 与 TGS 会 话 密 钥 。 

KTrs 为 TGS 与 S 会 话 密 钥 。 

Kcs 为 C 与 会 话 密 钥 。 


网 卡 有 以 下 四 种 工作 模式 : ， 和 
、 计 算 题 ( 共 20 分 ) 


1. 设 通信 双方 使 用 RSA 加 密 体制 ,接收 方 的 公开 密 钥 是 (e, n)=(3,77),， 求 明文 M=30 对 


的 密 文 。(5 分 ) 


2. 假定 允许 使 用 26 个 大 写字 母 ，26 个 小 写字 母 (严格 区 分 大 小 写 ) 和 10 个 数字 构造 
令 ， 口令 长 度 为 9 个 字符 ， 若 采用 暴力 攻击 ， 则 在 下 列 情 况 下 各 需要 多 少时 间 〈 精 确 到 
数 点 后 4 位 即 可 ) ? (1) 检查 一 个 口令 需要 1/10s 时 间 。(2) 检查 一 个 口令 需要 lns 时 
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3. 设 明文 M= good luck， 密 钥 KE test， 则 采用 维 吉 尼 亚 密码 的 加 密 字母 是 什么 ? 十 六 


制 ASCII 编码 输出 是 什么 ? (8 分 ) 


0 


维 吉 尼 亚 编码 规则 为 : 给 出 密 钥 K=k[1]k[2]…k[n]， 车 明文 为 M=m[1]m[2]…m[n]， 则 对 
应 的 密 文 为 C=C[1]C[2]…C[n]， 其 中 ，C[i]=(m[i]+K{ 直 ) mod 26。 维 吉 尼 亚 方 阵 如 下 所 示 。 


明 albjejdjelfljglhjiljlkjlmnloejplajrlsjtjulvjwjxlyjz 
文 | 
a ABCDEFGHIIIJKLMNOPOQRSTUVWXYZ 
b BCIDEFGHIJKLMNOPQRSTUVWXYZA 


e EFGHII JIKLMNIOPQRSTUYV XYZIABCD 


s STUVWXYZABCDEEFGHI 


= 
页 
td 
E4 
过 
© 


加 


简 答 题 (20 分 ) 
1. 可 以 采用 哪些 技术 防御 扫描 攻击 ? (5 分 ) 


2. 请 详细 说 明 下 列 程序 中 是 否 存 在 缓冲 区 溢出 ? (5 分 ) 


# include <stdio.h> 

main() 

{ 

int num= 0x61616161; 

printf ("Before : num = %#x \n", num); 
printf ("%.20d %n \n", num, &num); 
printf ("After : num = %#x \n", num); 


} 


3. 跨 站 脚本 攻击 是 如 何 实现 的 ?应 如 何 防御 ? (5 分 ) 


4. 请 说 明 分 布 式 拒绝 服务 攻击 的 原理 。(5 分 ) 
综合 考题 一 答案 


-AD TC BD BB DD 
ll. A 2 A. 13 有 到， 13, CC 16.. A 1 人 lB © 19,B 20. 已 


一 


1. 非 授权 执行 性 ， 可 触发 性 ， 一 段 程序 代码 
2. IDc,Lifetime;,Authenticatorc 


3. 广播 模式 、 组 播 模式 、 直 接 模 式 、 混 杂 模式 


芝 玫 3 全 


1. 接收 方 的 公开 密 钥 是 (e, n)=(3,77) 
明文 M=30 经 过 加 密 后 为 50， 即 对 应 的 密 文 为 C=50。 


2. 可 能 产生 口令 长 度 为 9 的 口令 总 数量 为 62 的 9 次 方 =1.3537e16 个 ,， 因此 ， 如果 检查 
一 个 口令 的 时 间 为 /10s 时 ， 暴 力 攻击 穷 举 搜索 最 长 的 攻击 时 间 为 1.3537el5s， 相 当 于 
2.2562el4min， 也 就 是 3.7603el12h， 等 于 1.5668ell 天 ， 相 当 于 4.2926e8 年 的 时 间 。 

如 果 检查 一 个 口令 需要 lns 时 间 ， 也 就 是 前 面 单位 时 间 的 10e(-8)， 则 穷 举 搜索 完毕 需 
要 4.2926 年 。 


3. 加 密 字母 是 ZSGW EYUD, 十 六 进 制 ASCII 编码 输出 是 SA 53 47 57 45 59 55 44。 


四 、 
1. 采用 端口 扫描 监测 工具 , 采用 个 人 防火 墙 , 针对 Web 服务 的 日 志 审 计 , 修改 Banner。 


2. 存在 。 参 数 &num 要 比 参数 num 先 压 入 栈 中 ， 这 是 因为 带 有 可 变 参数 的 函数 使 用 C 
函数 调用 约定 , 参数 从 右 向 左 依次 压 栈 , 栈 中 的 内 容 在 被 调用 函数 返回 后 由 程序 自动 删除 。 
整个 程序 的 输出 结果 为 

Before : num = 0x61616161 

00000000001633771873 

After : num = 0x14 

我 们 看 到 ， 变 量 num 的 值 已 经 变 成 了 0x14(20)。 也 就 是 说 ， 因 为 程序 中 将 变量 num 的 
地 址 压 入 堆栈 作为 printf0 的 第 三 个 参数 , 而 使 用 打印 格式 %n 会 将 打印 总 长 度 保存 到 对 应 参 
数 〈&num) 的 地 址 中 ， 从 而 改变 了 num 的 值 。 


3. 跨 站 脚本 (Cross-Site Scripting，XSS) 攻击 指 的 是 恶意 攻击 者 往 Web 页 面 里 插入 恶 
意 的 代码 或 数据 ， 当 用 户 浏览 该 页 面 时 ， 嵌 入 其 中 的 脚本 会 被 解释 执行 。 攻 击 者 因此 可 以 
绕 过 文档 对 象 模型 (DOM) 的 安全 限制 措施 ， 进 行 恶意 操作 ， 如 Cookies 窃取 、 更 改 Web 
应 用 账户 设置 、 传 播 Web 邮件 蠕虫 等 。 存 在 XSS 漏洞 的 Web 组 件 包括 CGI 脚本 、 搜 索引 
擎 、 交 互 式 公告 板 等 。 

跨 站 脚本 漏洞 主要 是 由 于 Web 服务 器 没有 对 用 户 的 输入 进行 有 效 性 验证 或 验证 强度 不 
够 ， 而 又 轻易 将 它们 返回 给 客户 端 造成 的 。Web 服务 器 允许 用 户 在 表格 或 编辑 框 中 输入 不 
相关 的 字符 ，Web 服务 器 存储 并 允许 把 用 户 的 输入 显示 在 返回 给 终端 用 户 的 页 面 上 ， 而 这 
个 回 显 并 没有 去 除非 法 字符 或 者 重新 进行 编码 。 

针对 XSS 攻击 ， 对 普通 浏览 网 页 用 户 及 Web 应 用 开发 者 给 出 的 安全 防御 建议 如 下 。 

对 于 普通 浏览 网 页 用 户 ， 在 网 站 、 电 子 邮 件 或 者 即时 通信 软件 中 单 击 链接 时 需要 格外 
小 心 : 留心 可 疑 的 过 长 链接 ， 尤 其 是 它们 看 上 去 包含 了 HTML 代码 。 还 可 以 安装 一 些 浏览 
器 插件 ， 如 Firefox 的 NoScript 或 者 Netcraft 工具 条 ， 并 且 尽 量 避 免 访 问 有 问题 的 站 点 。 
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对 于 Web 应 用 开发 者 ， 首 先 应 该 把 精力 放 到 对 所 有 用 户 提交 内 容 进 行 可 靠 的 输入 验证 
上 。 这 些 提交 内 容 包 括 URL、 查 询 关 键 字 、post 数据 等 。 只 接受 在 你 规定 长 度 范围 内 、 采 
用 适当 格式 的 字符 ， 阻 塞 、 过 滤 或 者 忽略 其 他 任何 东西 。 保 护 所 有 敏感 的 功能 ， 以 防 被 机 
器 人 自动 执行 或 者 被 第 三 方 网 站 所 执行 。 可 采用 的 技术 有 session 标记 (session tokens)、 验 
证 码 。 如 果 你 的 Web 应 用 必须 支持 用 户 提 交 HTML, 确认 你 接收 的 HTML 内 容 被 妥善 地 格 
式 化 , 仅 包含 最 小 化 的 、 安 全 的 tag (绝对 没有 JavaScript), 去 掉 任 何 对 远程 内 容 的 引用 ( 尤 
其 是 CSS 样式 表 和 JavaScript)。 


4. DDoS 攻击 通常 借助 客户 /服务 器 技术 。 在 进行 DDoS 攻击 前 ， 攻 击 者 必须 先 用 其 他 
手段 获取 大 量 倪 偶 主机 的 系统 控制 权 ， 用 于 安装 进行 拒绝 服务 攻击 的 软件 。 这 些 倪 偶 主 机 
最 好 具有 良好 的 性 能 和 充足 的 资源 ， 如 强 的 计算 能 力 和 大 的 带宽 等 。 

用 于 DDoS 攻击 的 软件 一 般 分 为 守护 端 (安装 守护 端的 主机 称 为 代理 ) 与 服务 端 〈 安 
装 服务 端的 主机 称 为 主 控 )。 这 些 程序 可 以 协调 ， 使 分 散在 互联 网 各 处 的 机 器 共同 完成 对 一 
台 主 机 的 攻击 操作 。 

当 需 要 攻击 时 , 攻击 者 连接 到 安装 了 服务 端 软件 的 主 控 , 向 服务 端 软件 发 出 攻击 指令 ， 
主 控 在 接收 到 攻击 指令 后 ， 控 制 多 个 代理 同时 向 目标 主机 发 动 猛烈 攻击 。 通 常 ， 主 控 与 代 
理 之 间 并 不 是 一 一 对 应 关系 ， 而 是 多 对 多 的 关系 。 也 就 是 说 ， 一 个 安装 了 代理 的 服务 器 可 
以 被 多 个 主 控 所 控制 ， 一 个 主 控 也 同时 控制 多 个 代理 。 图 1 是 三 层 结构 的 DDoS 攻击 示意 
图 。 采 用 这 种 三 层 结构 可 以 确保 入 侵 者 的 安全 。 攻 击 者 发 出 指令 后 ， 就 可 以 断 开 连接 ， 由 
主 控 负 责 指挥 代理 展开 攻击 。 因 此 , 攻击 者 连接 网 络 和 发 送 指令 的 时 间 很 短 ， 隐 蔽 性 极 强 。 


目标 主机 
图 1 三 层 结构 的 DDoS 攻击 示意 图 
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目前 流行 的 分 布 式 拒绝 服务 攻击 软件 一 般 没有 专用 的 客户 端 软件 ， 而 是 使 用 Telnet 方式 进 
行 连接 和 控制 命令 传送 。 

于 DDoS 攻击 同时 使 用 多 台 主 机 进行 攻击 ， 攻 击 者 来 自 范围 广泛 的 人 地址 ， 防 御 变 
得 困难 ， 而 且 来 自 每 台 主 机 的 数据 包 数 量 都 不 大 ， 因 此 很 有 可 能 从 入 侵 检测 系统 (Intrusion 
Detection System，IDS) 的 眼皮 下 溜 掉 ， 探 测 和 阻止 也 就 变 得 更 加 困难 。 目 前 而 言 ， 攻 击 者 
基本 上 都 抛弃 了 原始 的 使 用 简单 几 台 主机 进行 DoS 攻击 的 方式 ， 转 而 使 用 这 种 规模 更 大 、 
威力 更 强 、 成 功率 更 高 、 效 果 更 明显 、 追 踪 更 困难 的 DDoS 攻击 。 


附 2 综合 考题 二 及 答案 


一 、 选 择 题 (每 小 题 2 分 ， 共 20 分) 


1. FTP 的 英文 全 称 是 
A. File Transfer Protocol 
B. Finished Text Program 
C. Fly Task Pen 
D. Full Time Program 


已 


. 电子 信息 化 体现 在 生活 的 方方面面 ， 不 属于 电子 信息 化 的 体现 。 
A. 支付 宝 
B. 电子 银行 
C. 网 络 图 书馆 
D. 和 客户 咖啡 馆 见 面 


DD 


. 关于 0day 漏 洞 ， 定 义 正确 的 是 E 
A. 是 一 种 对 黑客 来 说 很 易 攻 击 ， 对 管理 者 来 说 不 费 吹 灰 之 力 就 可 以 修补 的 漏洞 
B. 顾名思义 ， 还 没有 出 现 的 漏洞 叫 0day 漏 洞 
C. 是 指 在 操作 系统 安全 补丁 发 布 前 被 了 解 和 掌握 的 漏洞 信息 
D. 是 一 种 程序 上 的 不 完善 


4. Don't Fragment (DF) 位 探测 属于 
A. 主机 扫描 
B. Ping 扫 描 
C. 漏洞 扫描 
D. 远程 主机 操作 系统 指纹 识别 


tn 


. SATAN 属 于 
A. 网 络 嗅 探 软 件 
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B. 木马 检测 工具 
C. 缓冲 区 溢出 监测 工具 
D. 端口 扫描 工具 


6. 以 下 关于 共享 式 网 络 下 防 监听 方法 不 正确 的 是 
A. 网 络 响 应 时 间 测 试 
B. ARP 检 测 
C. 跨 站 脚本 攻击 
D. 主机 响应 时 间 测 试 


7. 数字 签名 要 预先 使 用 单 向 Hash 函 数 进行 处 理 的 原因 是 __。 
A. 多 一 道 加 密 工序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 ， 加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 


8. 不 属于 木马 技术 。 
. 自我 复制 技术 

. 自动 加 载运 行 技术 

. 远程 监控 技术 

. 动态 撕 入 技术 
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9. 口令 破解 的 常用 方法 中 ， 属于 社会 工程 学 。 
A. 穷 举 法 
B. 通过 嗅 探 和 木马 等 手段 获取 口令 
C. 自动 口令 破解 器 
D. 假扮 技术 支持 获取 远程 计算 机 的 访问 权 


10. 以 下 关于 蜜 缸 技术 的 说 法 ， 不 正确 的 是 
A. 蜜 缸 系统 主动 吸引 攻击 者 ， 记 录 并 分 析 攻 击 者 的 攻击 行为 
B. 蜜 搂 系统 是 一 种 安全 解决 方案 ,会 “修补 ”发 现 的 所 有 错误 
C. 只 要 攻击 者 入 侵 蜜 钠 的 某 项 服务 ， 系 统 就 会 记录 下 它们 的 行为 并 观察 它们 接 下 来 的 
所 有 动作 
D. 蜜 钠 系 统 拖延 攻击 者 对 真正 目标 的 攻击 
二 、 填 空 题 (每 空 2 分 ， 共 40 分 ) 


1. RSA 算 法 的 安全 是 基于 的 困难 。 
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对: 


[ul 


. 公开 密 钥 加 密 算法 的 用 途 主 要 包括 两 个 方面 : 


. 消息 认证 是 。” ， 即 验证 数据 在 传送 和 存储 过 程 中 是 否 被 算 改 、 重 放 或 延迟 等 。 
. Hash 函 数 是 可 接受 数据 输入 ， 并 生成 ” ”数据 输出 的 函数 。 

. _ 是 笔迹 签名 的 模拟 ， 是 一 种 包括 防止 源 点 或 终点 否认 的 认证 技术 。 

. 身份 认证 是 验证 ， 而 不 是 冒充 的 ， 包 括 信 源 、 信 宿 等 的 认证 和 识别 。 

. 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 访问 权限 。 


. P2DR 的 含义 是 : 、 、 和 


. IDEA (International Data Encryption Algorithm) 是 旅居 瑞士 的 中 国 青 年 学 者 来 学 嘉和 闭 


名 密 钥 专 家 J.Massey 寺 1990 年 提出 ， 又 于 1992 年 改进 后 形成 的 ， 国 际 上 普遍 认为 它 是 继 
DES 之 后 又 一 成 功 的 分 组 密码 ， 己 经 实际 应 用 于 E-mail 加 密 系统 PGP 和 许多 其 他 加 密 系 


统 中 。 
IDEA 是 分 组 密码 ， 明 文 和 密 文 分 组 长 度 均 为 位 。 与 DES 不 同 的 是 ， 其 密 钥 长 度 
为 位 。IDEA 与 其 他 分 组 密码 一 样 ， 在 设计 上 既 采 用 了 混淆 ， 又 采用 了 扩散 ， 混 


合 运用 了 3 个 不 同 的 代数 群 ， 获 得 了 良好 的 非 线性 ， 增 强 了 密码 的 安全 性 。IDEA 算 法 是 
对 合算 法 ， 加 解密 共用 同一 算法 。 无 论 是 用 软件 ， 还 是 用 硬件 ， 都 很 容易 实现 ， 而 且 加 
解密 速度 很 快 。 


. 防火 墙 有 许多 种 形式 ， 按 技术 划分 ， 防火墙 可 以 分 为 8s 、 电 路 级 网 关 
和 

PHP 一 一 Hypertext Preprocessor, 是 一 种 易于 学 习 和 使 用 的 服务 器 端 HTML 霸 入 式 脚 本 描 
述 语 言 ， 是 生成 动态 网 页 的 工具 之 一 。PHP 独 特 的 语法 混合 了 C、Java、Perl 以 及 PHP 自 
创 的 新 语法 ， 其 目标 是 让 Web 程 序 员 快速 地 开发 出 动态 的 网 页 。 与 ASP、JSP 一 样 ，PHP 
也 可 以 结合 共同 使 用 ,， 它 与 HTML 具 有 非常 好 的 ， 使 用 者 可 以 直接 在 
脚本 代码 中 加 入 HTML 标 签 ， 或 者 在 HTML 标 签 中 加 入 脚本 代码 ， 从 而 更 好 地 实现 页 面 
控制 ， 提 供 更 加 丰富 的 功能 。 PHP 是 完全 免费 的 ， 它 支持 几乎 所 有 流行 的 数据 库 及 操作 
系统 ， 兼 容 性 强 ， 扩 展 性 强 。 


、 计 算 题 ( 共 20 分 ) 
1. 设 通 信 双 方 使 用 RSA 加 密 体制 ， 接 收 方 的 公开 密 钥 是 (e, n)=(5, 35)， 求 明文 M=30 


对 应 的 密 文 。(5 分 ) 


136s 


2. 假定 允许 使 用 26 个 小 写字 母 和 10 个 数字 构造 口令 ， 口 令 长 度 为 8 个 字符 ， 若 采用 
暴力 攻击 ， 在 下 列 情况 下 各 需要 多 少时 间 (精确 到 小 数 点 后 4 位 即 可 ) ? (1) 检查 一 个 口 
令 需 要 1/10s 时 间 。(2) 检查 一 个 口令 需要 lns 时 间 。(7 分 ) 


3. 设 明文 M= thank you， 密 钥 K=test， 则 采用 维 吉 尼 亚 密码 的 加 密 字 母 是 什么 ? 十 六 
进 制 ASCI 编码 输出 是 什么 ? (8 分) 


维 吉 尼 亚 编码 规则 为 给 出 密 钥 K=k[1]K[2]…k[n]， 若 明文 为 M=m[1]m[2]…m[n]， 则 对 应 
的 密 文 为 C=C[1]C[2]…C[n]， 其 中 ，C[i]=(m[i]+k[]) mod 26。 维 吉 尼 亚 方 阵 如 下 所 示 。 


albleclalelflglnlililklilmnlolplalrlsitlulviwixly|z 


A 
B 


|s| 闪 至 


CDEFGHIIJTKLMNODPIQRSTUVIWXYZ 
DEFGHIIJTKLMNOPOQRSTUYVWXYZIA 


[ej 


e EFGHIIJKLMNOPOQRISTUYVWXYZABCD 


z |ZIABCDIEIFGHITIJKLMNOPOQRSITUVWXY 


四 、 简 答题 (20 分 ) 
1. 可 以 采用 哪些 技术 防御 网 络 嗅 探 ” (5 分) 


2. 请 详细 说 明 下 列 程序 中 是 否 存 在 缓冲 区 溢出 ? (5 分 ) 


/ * File heapl.c * / 

# include < stdio.h > 

# include < stdlib.h > 

# include < unistd.h > 

# include < string.h > 

# define BUFFER-SIZE 16 

# define OVERLAYSIZE 8 /* 我 们 将 覆盖 buf2 的 前 OVERLAYSIZE 字 节 */ 

int main() 

{ 

u-long diff; 

char * bufl = (char * ) malloc (BUFFER-SIZE); 

char * buf2 = (char * ) malloc (BUFFER-SIZE); 

diff = (u-long) buf2 - (u-long) bufl; 

printf ("bufl = sp , buf2 = sp , diff = 0x sx ( %d) bytes \n", bufl, buf?2, diff, diff); 
/* 将 buf2 用 'a' 填 充 */ 

memset (buf2, 'a', BUFFER-SIZE — 1), buf2[BUFFER-SIZE - 1 ] = '\0'; 
printf ("before overflow: buf2 = %s \n”", buf2); 

/* 用 diff + OVERLAYSIZE 个 'b' 填 充 bufl */ 

memset (bufl , 'b', (u-int) (diff + OVERLAYSIZE)); 
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printf ("after overflow: buf2 = %s \n", buf2); 
return 0; 


} 
3. 什么 是 义 .509 方案 ， 它 是 如 何 实现 数字 签名 的 ? (5 分 》 


4. 请 说 明 虚 拟 专用 网 的 定义 和 关键 技术 。(5 分 ) 
综合 考题 二 答案 


一 CC QD 10B 


1. 分 解 两 个 大 素数 的 积 ; 

2. 密 钥 分 配 、 数 字 签名 ; 

3. 验证 信息 的 完整 性 ; 

4. 变 长 ， 定 长 ; 

5. 数字 签名 ; 

6. 信息 发 送 者 的 真实 性 ; 

7. 访问 控制 ; 

8. 策略 ， 保 护 ， 探 测 ， 反 应 ; 
9. 64, 128; 

10. 包 过 滤 防 火 墙 、 代 理 服务 器 型 防火 墙 、 混 合 型 防火 墙 ; 
11. HTML， 兼 容 性 。 


1. 接收 方 的 公开 密 钥 是 (e, n)=(5,35), 明文 M=30 经 过 加 密 后 为 C=30” mod 35 =24300000 
mod 35 =25， 即 对 应 的 密 文 为 C=25。 

2. 可 能 产生 口令 长 度 为 6 的 口令 总 数量 为 36X36X36X36X36X36=2.1767X10? 个 ， 
因此 如 果 检 查 一 个 口令 的 时 间 为 1/10s 时 , 暴力 攻击 穷 举 搜索 最 长 结束 时 间 为 2.1767X 108s， 
相当 于 3627971min， 也 就 是 60466h， 等 于 2519 天 ， 相 当 于 6.9 年 的 时 间 。 

如 果 检 查 一 个 口令 需要 lns 时 间 ， 也 就 是 前 面 单位 时 间 的 10e(-5)， 则 穷 举 搜索 完毕 需 
要 36.3min。 

3. 加 密 字 母 是 MLSG DCGN， 十 六 进 制 ASCII 编码 输出 是 4D 4C 53 47 44 43 47 4E。 


四 、 

1. 网 络 嗅 探 的 防御 通用 策略 包括 采用 安全 的 网 络 拓 扑 结 构 、 会 话 加 密 技术 和 防止 ARP 
欺骗 等 方面 。 此 外 ， 也 可 以 借助 一 些 反 监听 工具 〈 如 Anti Sniffer 等 ) 进行 检测 。 在 共享 式 
网 络 下 ， 嗅 探 器 需要 将 网 卡 设置 为 混杂 模式 才能 工作 ， 因 此 可 以 通过 检测 混杂 模式 网 卡 检 
测 可 能 存在 的 嗅 探 器 。 也 可 以 通过 检测 网 络 通信 丢 包 率 和 网 络 带宽 异常 检测 网 络 中 可 能 存 
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在 的 嗅 探 。 目 前 已 经 有 一 些 检测 网 络 嗅 探 的 手段 和 方法 ， 如 网 络 和 主机 响应 时 间 测 试 和 
ARP 检测 等 。 交 换 网 络 下 防范 监听 的 措施 主要 包括 : 

@ 不 要 把 网 络 安全 信任 关系 建立 在 单一 的 卫 或 MAC 基础 上 , 理想 的 关系 应 该 建立 在 
IP-MAC 对 应 关系 的 基础 上 。 

@ 使 用 静态 的 ARP 或 者 P-MAC 对 应 表 代替 动态 的 ARP 或 者 IP-MAC 对 应 表 ， 禁 止 
自动 更 新 ， 使 用 手动 更 新 。 

@ 定期 检查 ARP 请 求 , 使 用 ARP 监视 工具 (如 ARPWatch 等 ) 监 视 并 探测 ARP 欺骗 。 

对 于 防范 网 络 嗅 探 攻 击 ， 管 理 显 得 格外 重要 。 管 理 部 门 应 建立 一 套 安全 标准 ， 严 格 
执行 。 


2. 存在 缓冲 区 溢出 。buf2 的 前 8 字 节 被 覆盖 了 ， 这 是 因为 向 bufl 中 填写 的 数据 超出 它 
的 边界 进入 buf2 的 范围 。 由 于 buf2 的 数据 仍然 在 有 效 的 Heap 区 内 ， 所 以 程序 仍然 可 以 正 

虽然 bufl 和 buf 是 相继 分 配 的 ， 但 它们 并 不 是 紧 挨 的 ， 而 是 有 8 字 节 的 间距 。 这 是 因 
为 ， 使 用 malloc0 动 态 分 配 内 存 时 ， 系 统 向 用 户 返 回 一 个 内 存 地 址 ， 实 际 上 ， 在 这 个 地 址 前 
面 通常 还 有 8 字 节 的 内 部 结构 ， 用 来 记录 分 配 的 块 长 度 、 上 一 个 堆 的 字 节 数 以 及 一 些 标志 
等 。 这 个 间距 可 能 随 不 同 的 系统 环境 而 不 同 。bufl 溢出 后 ，buf2 的 前 8 字 节 也 被 改写 为 
bbbbbbbb，buf2 内 部 的 部 分 内 容 也 被 修改 为 b。 


bufl 间距 buf2 
履 盖 前 : [xxxxxxxxxxxxXxXxXxXx] [xxxxxxxx] [aaaaaaaaaaaaaaal 
低 址 -一 -一 -一 -一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 > 高 址 


履 益 后 : [bbbbbbbbbbbbbbbb] [bbbbbbbb] [bbbbbbbbaaaaaaa] 


3. X.509 是 一 种 行业 标准 或 者 行业 解决 方案 一 一 X.509 公共 密 钥 证 书 。 在 X.509 方案 
中 ， 默 认 的 加 密 体制 是 公 钥 密码 体制 。 

为 进行 身份 认证 , X.509 标准 及 公共 密 钥 加 密 系 统 提供 了 数字 签名 的 方案 。 用 户 可 生成 
一 段 信息 及 其 摘要 (指纹)。 用 户 用 专用 密 钥 对 摘要 加 密 ， 以 形成 签名 ,接收 者 用 发 送 者 的 
公共 密 钥 对 签名 解密 ， 并 将 之 与 收 到 的 信息 “指纹 ”进行 比较 ， 以 确定 其 真实 性 。 


4. 虚拟 专用 网 (简称 VPN) 是 利用 接 入 服务 器 、 路 由 器 及 VPN 专用 设备 、 采 用 隧道 
技术 以 及 加 密 、 身 份 认 证 等 方法 ， 在 公用 的 广域网 (包括 Intemet、 公 用 电话 网 、 帧 中 继 网 
及 ATM 等 ) 上 构建 专用 网 络 的 技术 ， 在 虚拟 网 上 , 数据 通过 安全 的 “加 密 隧道 ”在 公众 网 
络 上 传播 。 

VPN 使 用 的 主要 技术 包括 : 

(1) 隧道 (封装 ) 技术 是 目前 实现 不 同 VPN 用 户 业 务 区 分 的 基本 方式 。 一 个 VPN 可 
抽象 为 一 个 没有 自 环 的 连通 图 ， 每 个 顶点 代表 一 个 VPN 端点 (用 户 数据 进入 或 离开 VPN 
的 设备 端口 )， 相 邻 项 点 之 间 的 边 表示 连接 这 两 对 应 端点 的 逻辑 通道 ， 即 隧道 。 隧 道 以 县 加 
在 卫 主干 网 上 的 方式 运行 。 需 安全 传输 的 数据 分 组 经 一 定 的 封装 处 理 ， 从 信 源 的 一 个 VPN 
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端点 进入 VPN， 经 相关 隧道 穿越 VPN (物理 上 穿越 不 安全 的 互联 网 )， 到 达 信 宿 的 另 一 个 
VPN 端点 ， 再 经 过 相应 解 封装 处 理 ， 便 得 到 原始 数据 。( 不 仅 指 定 传送 的 路 径 ， 在 中 转 节 点 
也 不 会 解析 原始 数据 ) 

(2) 当 用 户 数 据 需 要 跨越 多 个 运营 商 的 网 络 ， 在 连接 两 个 独立 网 络 的 节点 时 ， 该 用 户 
的 数据 分 组 需要 被 解 封装 和 再 次 封装 ， 可 能 会 造成 数据 泄露 ， 这 就 需要 用 到 加 密 技 术 和 密 
钼 管理 技术 。 目 前 主要 的 密 钥 交换 和 管理 标准 有 SKIP 和 ISAKMP 安全 联盟 和 密 钥 管 理 
协议 )。 

(3) 对 于 支持 远程 接 入 或 动态 建立 隧道 的 VPN， 在 隧道 建立 前 需要 确认 访问 者 身份 ， 
是 否 可 以 建立 要 求 的 隧道 ， 若 可 以 ， 系 统 还 须根 据 访问 者 身份 实施 资源 访问 控制 。 这 需要 
访问 者 与 设备 的 身份 认证 技术 和 访问 控制 技术 。 
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后 记 


在 本 书 的 编写 过 程 中 ， 查 阅 了 网 上 的 丰富 资源 ， 得 益 于 很 多 网 络 技巧 和 窃 门 的 无 私 分 
享 ， 感 谢 网 络 世界 默默 无 闻 的 众多 奉献 者 ， 使 得 网 络 在 高 开放 性 的 同时 ， 还 能 保持 高 度 的 
可 靠 性 和 安全 性 。 同 时 ， 本 书 的 编写 也 得 到 很 多 前 辈 、 同 事 以 及 学 生 的 帮忙 ， 家 人 也 给 予 
了 我 们 无 微 不 至 的 关怀 。 在 本 书 的 编写 过 程 中 ， 第 一 作者 的 父亲 不 幸 离 世 ， 也 借 此 书 奈 藉 
他 的 灵魂 。 梦 一 样 易 逝 的 人 生 需 要 我 们 坚强 面 对 。 和 希望 这 个 世界 永远 安全 ， 没 有 纷争 。 
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高 等 教育 质量 工程 信息 技术 系列 示范 教材 


系列 主编 : 张 基 温 


@ 新 概念 C 程序 设计 大 学 教程 (第 4 版 ) 张 基 温 
@ ”新 概念 C++ 程序 设计 大 学 教程 (第 3 版) 张 基 温 
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@ 计算 机 组 成 原理 教程 (第 7 版 张 基 温 
@ 计算 机 组 成 原理 解 题 参考 (第 7 版 ) 张 基 温 
@ 计算 机 网 络 教程 (第 2 版 张 基 温 
@ ”信息 系统 安全 教程 (第 3 版 ) 张 基 温 
@ ”信息 系统 安全 教程 (第 3 版 ) 习题 详解 栾 英姿 
@ Python 大 学 教程 张 基 温 
@ 大 学 计算 机 一 一 计算 思维 导论 张 基 温 
@ ”UI 设计 教程 牛 金 若 
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APP 开发 教程 一 一 HTML5 应 用 尹 志 军 


